Miraldo: Security

Beitrag lesen

Hallo

ich programmiere derzeit ein Kurssystem der es dem besucher der seite erlauben sollte eine liste mit verfügbaren kursen anzuschaun und diese zu buchen. (was auch prima funktioniert)

um einen kurs buchen zu können, muss sich der user aber mit seinem usernamen und pwd einloggen. (was auch suppa funktioniert)

wie gewährleiste ich aber, dass wenn sich der user wieder ausgelogt hat, keiner auf den zurück button klicken kann und wieder auf die seite die eigentlich nur über den login erreichbar wäre kommen kann?

ich habe gedacht dass es mit dem session objekt gehen sollte. und zwar wenn der user auf "logout" führe ich SEssion.Content.RemoveAll() und Session.Abandon aus. trotzdem muss ich nur auf den zurück knopf druck und ich gelange wieder auf die "geschützte" seite.
erst wenn ich die seite aktualisiere erkennt der browser dass die session schon expired ist ...

habe gehört dass es einen meta tag geben sollte (must-revalidate" oder so) der die seite immer neu-aufbaut.
funktioniert der auch bei dem "zurück" knopf?

hoffe jemand kann mir helfen
grüsse
MIraldo