Magento - 用户可以看到其他数据

【问题标题】:Magento - users can see others dataMagento - 用户可以看到其他数据
【发布时间】:2012-08-08 07:39:08
【问题描述】:

我们有一个 Magento 商店,有时当用户登录时,它会使用其他人的用户信息进行身份验证。

当用户进入我的帐户时,他们可以看到另一个客户的订单详情。

我发现一个论坛说要激活会话验证设置下的验证 HTTP_USER_AGENT 和验证 REMOTE_ADDR 值,但我们仍然看到问题。

是否有人对可能导致此问题的原因有任何想法?

提前感谢您的帮助。

乔治

【问题讨论】:

    标签: security validation magento cookies


    【解决方案1】:

    我从来没有真正花时间正确调试这个,但前段时间我们遇到了一个几乎相同的问题。最终,当启用System > Configuration > Web > Use SID on Frontend 并且您还启用了Magento Enterprise Full Page Cache 时,它有时会在缓存模板中保存SID。当其他用户单击具有不正确 SID 的链接时,他们就接管了该会话。

    禁用 SID 选项后,我们再也没有遇到过问题。 也许不是一个真正的答案,但也许对你很有价值。

    【讨论】:

    • 由于此设置,我复制了会话冲突。访问与 Magento 的 base_url 不匹配的 URL,导致它在链接中嵌入 SID(例如,将 base_url 设置为 https:/example.com,但通过 https:/www.example.com 访问)。它对 https 和 http 使用不同的 SID,因此只会在 https URL 处碰撞用户数据。复制带有 SID 的 URL 后,将其保存在某处,然后登录。然后清除 cookie,并访问带有 SID 的 URL(从任何计算机)。你成功劫持了一个会话。
    • 我遇到了这个确切的问题,只需将 SID 设置为 NO,看看它是如何工作的。 Magento CE 1.9.1。使用 FPC。
    猜你喜欢
    • 1970-01-01
    • 2011-08-06
    • 1970-01-01
    • 1970-01-01
    • 2011-03-21
    • 1970-01-01
    • 2015-01-14
    • 1970-01-01
    • 2022-10-21
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode