我们有一个 Magento 商店,有时当用户登录时,它会使用其他人的用户信息进行身份验证。
当用户进入我的帐户时,他们可以看到其他客户的订单详细信息。
我发现一个论坛说要在 session 验证设置下激活验证 HTTP_USER_AGENT 和验证 REMOTE_ADDR 值,但我们仍然看到该问题。
有人知道可能导致此问题的原因吗?
预先感谢您的帮助。
乔治
最佳答案
我从来没有真正花时间来正确调试这个问题,但不久前我们遇到了几乎相同的问题。最终,当启用System > Configuration > Web > Use SID on Frontend并且您还启用了Magento Enterprise Full Page Cache时,它有时会保存SID 在缓存的模板中。当其他用户单击具有不正确 SID 的链接时,他们就会接管该 session 。
禁用 SID 选项后,我们再也没有遇到过这个问题。 也许不是真正的答案,但可能对您有值(value)的信息。
关于security - Magento - 用户可以看到其他人的数据,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/11911204/