Недавно у нас возникла необычная проблема, когда два пользователя нашего веб-сайта выполняли идентичные транзакции практически одновременно. Они подключались к нашим серверам с одного и того же IP-адреса (предполагается, что это прокси их компании). Оба сделали запрос POST, за которым следовал только один GET. Мы полагаем, что ответ GET от наших серверов кэшировался их прокси-сервером и впоследствии передавался второму пользователю непосредственно из кэша. Это привело к тому, что данные, принадлежащие пользователю 1, были показаны пользователю 2.
В заголовке ответа http для управления кешем мы указали no-store. Теперь мы сделали изменение поясов и фигурных скобок, чтобы добавить дополнительные директивы (no-cache, must-revalidate, max-age = 0), но я не уверен, что это предотвратит повторение. Я считаю, что ни один магазин не должен был делать свою работу, и что здесь есть что-то еще.
Признаюсь, что я совсем не эксперт в области кэширования, но я потратил несколько часов на исследования, и мне кажется, что администраторы серверов нередко устанавливают свои прокси-конфигурации, чтобы игнорировать управление кэшем. Это кажется мне довольно опасным и может / может привести к обмену личными / личными данными. Сейчас мы находимся в процессе модификации наших приложений, чтобы сделать наши страницы более безопасными в случае, если прокси игнорируют директивы no-cache. Возможно, это то, что мы должны были рассмотреть ранее.
Причина моего поста в том, что я могу найти очень мало дискуссий в интернете о прокси-серверах, игнорирующих контроль кеша и последствия этого. Это редкость в опыте людей? кто-нибудь еще сталкивался с этим? Я ошибаюсь, если думаю, что это фактор здесь? Было бы интересно узнать мысли людей по этому поводу. Спасибо за чтение.
DS.