[clindh]

Ibland får jag rapporter från två användare som sitter på samma företag att den ene plötsligt ser sig vara inloggad som den andra. Vi bygger inloggning på cookies.

Vad som verkar hända är att företaget har en proxy med cache, och att den cachar det dokument som jag gör en Set-Cookie: i då man loggar in. Detta trots diverse headers som skall motverka cachning. När en annan person senare besöker den sidan får han dokumentet ur deras proxycache istället för vår server och får då samma cookie satt.

Att cacha ett dokument med Set-Cookie: måste väl vara felaktigt beteende av en delad cache?

Eller finns det andra lösningar på hur det kan bli såhär?

(Detta inlägg kanske hör mer hemma i server-forumet, eller snarare "mittimellan-forumet" om det nu fanns ett...)

[danjel]

Hur stänger du av cache? Har du testat liknande detta?

// Date in the past
header("Expires: Mon, 26 Jul 1997 05:00:00 GMT");

// always modified
header("Last-Modified: " . gmdate("D, d M Y H:i:s") . " GMT");

// HTTP/1.1
header("Cache-Control: no-store, no-cache, must-revalidate");
header("Cache-Control: post-check=0, pre-check=0", false);

// HTTP/1.0
header("Pragma: no-cache");

[clindh]

Nästan, hade inte med "no-store" och post/pre-check. Klämmer dit det så får vi se, men jag tycker ändå proxyn gör fel... :-)