23 ноября 2012 в 13:52
Взываю к помощи.
Имеется корпоративное веб-приложение с авторизацией. Время от времени звонят люди из крупных организаций (телекомов, банков) и жалуются на то, что видят страницы с информацией о другом пользователе, например, своего коллеги. Подозреваю, что это из-за кеширования на прокси-серверах в этих организациях: возможно, прокси отдает куки авторизованного пользователя всем без разбора, в результате получивших их аноним автоматом логинится.
Вопрос, как этого избежать? Добавил в шаблон:
<meta http-equiv="Cache-Control" content="no-cache">
но не помогает. Может, нужно отдавать кеш-контроль в виде заголовка?
ЗЫ: сайт не на Друпале.
Комментарии
Копай в сторону заголовков, это надежнее. Однако, если проблема в кривом прокси, и заголовки игнорируются, то спасет только SSL.
Если сайт серьезный, то я бы сразу SSL делал и не заморачивался с полу-решениями.