4.4.x nach Logout funktioniert "zurück"-Button des Browsers leider noch

[Physiklehrer]

Contao 4.4.x-4.6.x

Auch nach der Abmeldung lassen sich die geschützten Seiten noch über den "zurück"-Button des Browsers erreichen, siehe https://community.contao.org/de/showthread.php?72132-nach-Logout-funktioniert-quot-zur%C3%BCck-quot-Button-des-Browsers-leider-noch

Reproduzieren: geschützten Bereich anlegen, mit Firefox verschiedene Seiten im geschützten Bereich besuchen, ausloggen, "zurück" anklicken => Seiten sind sichtbar. In Contao 3.5 kommt "Zugriff verweigert".

Lösungsidee: Contao 3.5 sendet hinsichtlich Cache-Control "no-store, no-cache, must-revalidate, post-check=0, pre-check=0", Contao 4 jedoch nur "must-revalidate, no-cache, private". Offenbar reicht das nicht aus.

[leofeyer]

@contao/developers /cc

[Toflar]

Symfony setzt standardmässig auf no-cache und ignoriert no-store. Die entsprechenden Issues und Pull Requests sind seit längerem bei Symfony offen, da können wir nichts unternehmen. Hatte vor ein paar Tagen nochmal ein Issue aufgemacht: symfony/symfony#28872

[Physiklehrer]

Nach meinen Tests tritt der Fehler in 4.4.36 nun nicht mehr auf. Das entsprechende Symfony-Ticket wurde am 25. Februar geschlossen. Von daher kann dieser Issue gerne geschlossen werden. Danke!