1) ユーザー A がサイトにアクセスし、アカウントを作成してログインします。 2) ユーザー b がサイトにアクセスします。ユーザー b は、ログインする必要はなく、ユーザー b がユーザー a であるかのように入力します。ユーザー b は、ユーザー a のすべてのデータへのアクセス権を取得し、ユーザー a としてサイトを閲覧できます。
注: ユーザー b はログインしません。ユーザー b はサイトにアクセスするだけで、ユーザー b が既にユーザー a としてログインしているかのようにサイトが返されます。
注 2: ユーザー a とユーザー b は別のコンピューターにいます。また、静的変数はコードに含まれていません。
セットアップ: サイト内のページに対して IIS 6 .Net 2.0 OutputCache をオフにする
静的 (c#) または共有 (VB) 変数にデータを格納していないことを確認します。
この質問は、 Apache/Tomcat のエラー - 間違ったページが配信される によく似ているようです。その質問に対する私の答えが言及しているように、セッション Cookie を使用する場合は、Varyヘッダーが正しいかどうかを確認してください。
他のチームメンバーによる調査から:
認証 Cookie がポータルの画像に含まれている場合でも、David のチケットを含む認証 Cookie が Todd のブラウザーに送信されることはありません。また、別のユーザーが他のユーザーの認証 Cookie を取得するような場所に画像がキャッシュされている場合、この問題はかなり頻繁に発生し、繰り返し発生するはずです。しかし、これが負荷分散されたシステムであるかどうか疑問に思っています。そうであれば、ロードバランサーは何かをキャッシュしますか?
ASP.NET、IIS 6.0、および Windows 2003 Server での出力キャッシュの結果としてユーザーがセッションを共有するという既知の問題に基づいて、この問題は 100,000 リクエストのうち 1 つしか繰り返されない可能性があります (「セッションと出力キャッシュ」セクションを参照してください)。この記事) http://msdn.microsoft.com/en-us/magazine/cc163577.aspx