系统登录成功并退出后，存在逻辑漏洞

simple · 发表于 2023-11-6 11:20:14

自定义的登录页和首页，用户在成功登录并进行相关的操作后，点击退出按钮退出系统返回登录页，在不关闭浏览器的情况下，点击浏览器的返回或后退按钮，依旧可加载系统之前操作时的界面，看到部分数据并且且可以操作数据，应该是页面加载的时候没有判断当前用户登录状态而拦截跳转登录页，导致缓存数据展现。

如果是新打开浏览器，直接输入某个页面的地址，是会被拦截跳转登录页的。

请问大家有没有复现该问题，有没有解决的办法？

论坛管理员 · 发表于 2023-11-6 12:26:37

您指的是哪个页面或者哪个应用，管理员测试一下

simple · 发表于 2023-11-6 14:45:38

论坛管理员发表于 2023-11-6 12:26
您指的是哪个页面或者哪个应用，管理员测试一下

以官网的政务信息化协同平台来复现：
1.以韩局长帐号登录

2.登录后点击办公中心

3.点击退出

4.点击浏览器的后退按钮，可以继续点击首页等进行操作

5.复制网址https://case1.o2oa.net/x_desktop ... 7-8bb5-f6edf6af2f8d，重新打开新浏览器打开，会被拦截跳转到登录页

论坛管理员 · 发表于 2023-11-6 17:34:47

您讲的这个场景，是因为门户页面设置的是可以匿名访问的，应该在这个页面上去检测一下，当前是否有登录，是否是anonymous，如果是，就刷新一下当前浏览器，进入登录页面

simple · 发表于 2023-11-7 09:53:38

论坛管理员发表于 2023-11-6 17:34
您讲的这个场景，是因为门户页面设置的是可以匿名访问的，应该在这个页面上去检测一下，当前是否有登录，是 ...

在门户页面的queryload里判断是否为anonymous，经验证可以解决该问题

论坛管理员 · 发表于 2023-11-7 17:45:33

系统登录成功并退出后，存在逻辑漏洞

本帖子中包含更多资源

发表回复