<div dir="ltr">hey guys,<div style>found the answer. It was a silly thing.</div><div style><br></div><div style>So, what was happening is that once I had the user logged-in, I was just getting the next index page (using "require_once" and NOT REDIRECTING). And so when the user logged out and pressed the back button, all the form data was still there because it was 1 single page just loading another page.</div>
<div style><br></div><div style>The solution was to redirect the user to another page. With redirect, all the form fields are lost. So, now refreshing does not resubmits the form data. Also to deal with the back button, I added some checks, and if the checks do not satisfy, then the previous page is not loaded.</div>
</div><div class="gmail_extra"><br><br><div class="gmail_quote">On Fri, Oct 18, 2013 at 3:45 AM, Sven Rautenberg <span dir="ltr"><<a href="mailto:sven@rtbg.de" target="_blank">sven@rtbg.de</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Hi there!<br>
<br>
Only SOME browsers are loading from the cache. The correct behavior is<br>
to load from HISTORY. Which is something entirely different, but was<br>
described so in some rather old RFC documents I've read years ago (so I<br>
don't remember their number now).<br>
<br>
The back and forward buttons of the browser are moving the user in his<br>
history, with the back button showing the page in that state the user<br>
left it. This especially means the state includes also ALL FORM FIELDS<br>
FILLED with the content that was there when the page was left (probably<br>
excluding password fields - I cannot check right now).<br>
<br>
You cannot really work around this server-side. The user has to destroy<br>
his history himself by closing that browser tab, window or instance.<br>
<br>
Regards,<br>
Sven<br>
<br>
Am 18.10.2013 01:53, schrieb rahul chaudhary:<br>
<div class="HOEnZb"><div class="h5">> Hello Guys,<br>
><br>
> While making the sample application, after "logout", I observed that<br>
> clicking the back button in the browser loads the cached page i.e. "the<br>
> page where the user is still logged in". I tried doing "no-cache", but it<br>
> still is being loaded from cache. I also observed that even though I unset<br>
> $_POST variables which contains userID and password, by clicking the back<br>
> button, they are still not deleted, their values again come up on the<br>
> screen.<br>
><br>
> So, for this do we need a cache-control library or is there some<br>
> work-around ??<br>
><br>
><br>
><br>
</div></div><div class="HOEnZb"><div class="h5">> _______________________________________________<br>
> OWASP_PHP_Security_Project mailing list<br>
> <a href="mailto:OWASP_PHP_Security_Project@lists.owasp.org">OWASP_PHP_Security_Project@lists.owasp.org</a><br>
> <a href="https://lists.owasp.org/mailman/listinfo/owasp_php_security_project" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp_php_security_project</a><br>
><br>
<br>
</div></div></blockquote></div><br><br clear="all"><div><br></div>-- <br><div>Regards,</div><div>Rahul Chaudhary</div><div>Ph - 412-519-9634</div>
</div>