我試圖在asp.net(NTLM auth)中實現註銷功能。 Session.Abandon可以正常工作,但如果用戶沒有關閉瀏覽器窗口,Chrome瀏覽器會自動使用以前的憑據登錄。只有IE瀏覽器正確地要求提供新的證書。javascript stop autolog-in in firefox and chrome
所有瀏覽器窗口關閉後,瀏覽器會在「需要驗證」窗口中正確詢問用戶和密碼。
試圖清除Cookie與
xmlhttp.open("GET", ".force_logout_offer_login_mozilla", true, "logout", "logout");
或
xmlhttp.open("GET", '<DOMAIN>?&timeSpan=' + (new Date().getTime().toString()), true, "logout", "logout");
cookie將被清除,.NET再次創造了新的會話對象,但Firefox和 「透明」 鉻登錄用戶。
IE上的第二個版本要求輸入「註銷」用戶的憑據,但是在Firefox上,它只是使用以前發送的值登錄。
有什麼辦法可以阻止這種行爲?這似乎是嚴重的安全問題......