Magento - 用户可以看到其他数据

时间:2012-08-11 01:44:57

标签: security validation magento cookies

我们有一个Magento商店,有时当用户登录时,会通过其他人的用户信息进行身份验证。

当用户进入我的帐户时,他们可以看到其他客户的订单详情。

我找到了一个论坛,说在会话验证设置下激活验证HTTP_USER_AGENT和验证REMOTE_ADDR值,但我们仍然看到了这个问题。

有没有人对可能导致此问题的原因有任何想法?

提前感谢您的协助。

乔治

1 个答案:

答案 0 :(得分:8)

我从来没有真正花时间正确调试这个,但前段时间我们遇到了一个几乎相同的问题。最终看起来如果启用了System > Configuration > Web > Use SID on Frontend并且您启用了Magento Enterprise Full Page Cache,它有时会在缓存的模板中保存SID。当其他用户点击具有错误SID的链接时,他们会接管该会话。

禁用SID选项后,我们再也没遇到过这个问题。 也许不是一个真正的答案,但也许对你有价值的信息。