StateServerを使用したASP.NETセッションミックス（SCARY！）

Question

セッション中に2つのオブジェクトを保存します。どういうわけか、別のユーザーのオブジェクトの1つが別のユーザーのセッションに読み込まれました。ユーザーはこの特定のデータへのアクセス権を持っていないはずであり、見た直後に何かが間違っていることが分かっていました。

私たちは彼に提示されたデータの視覚的証拠を持っています、そして、確かにセッションが混ざり合っていなければ起こることはできませんでした。これはわからない非常に恐ろしい状況です（再現できません）。私たちの唯一の答えは、セッション変数を混在させるためにASP.NET StateServerを責めることです。これはまったく受け入れられず、私たちを悪い立場にしています。

私たちのアプリケーションは、StateServer cookieless="false"セッションモードとFormsAuthenticationを使用して、IIS6を搭載したWindows Server 2003上で動作するASP.NET 2.0アプリケーションです。

誰か他にこの問題がありましたか？どうすれば解決できますか？

Answer 1

を私たちは、私の前の会社では、この正確な問題に遭遇し、それをデバッグするために3週間かかりました。 ASP.NETはユーザーに他のユーザーのセッション状態を与えていました。デバッグ環境で複製することは本当に不可能でした。

私たちが見つかったときの修正は、web.configのなんらかのものでした。私はそれを完全に覚えていないので、私はグーグルで時間を過ごした。この問題には、出力キャッシングと関係があると私は考えています。この記事の「セッションと出力のキャッシュ」をご覧ください。

http://download.microsoft.com/download/3/a/7/3a7fa450-1f33-41f7-9e6d-3aa95b5a6aea/MSDNMagazineJuly2006en-us.chm（記事は7月にジェフ・プロシースでMSDN誌の2006年版をこれらの10件の共通ASP.NET落とし穴を回避することにより、円滑な稼働サイトをキープと題される）

それがあなたのシナリオでは、その後、修正のように聞こえる場合web.configのenableKernelOutputCacheオプションを無効にしているだけかもしれません。

幸運。

Answer 2

まず、自分のコードでバグを探してください。これははるかに可能性の高い説明です。例えば。静的フィールドまたはユーザー固有のデータ用のASP.NETキャッシュなどの他の共有メモリを使用します。

Answer 3

何回発生しましたか？ブラウザーを使用しているユーザー、またはセッションIDでお互いにリンクを送信しているユーザーを確認しましたか？

State Serverのバグを確認する1つの方法は、別のセッションマネージャに切り替えることです.SQL Serverを使用できる場合、または使用する場合はin-procにフォールバックしますが、最初にバグを再現する方法を見つける方がよいでしょう。それをテストすることができます。

Answer 4

可能な回答 - cookielessセッション状態を使用して同様のことが報告されました。

session showing something wrong

編集 -

別の可能な答えを追加しました：

An ASP.NET page is stored in the HTTP.sys kernel cache in IIS 6.0 when the ASP.NET page generates an HTTP header that contains a Set-Cookie response

Answer 5

2人の交差ユーザーが同じキャッシュプロキシを使用していますか？その場合、特に、プロキシが正常に動作していない場合、URLが一致した場合に、あるユーザーが別のユーザー用にキャッシュされたデータを参照する可能性があります。

これはGoogle Web Acceleratorプロジェクトの主な問題ではありませんでしたか（現在は販売終了）

Answer 6

この問題が発生した場合、部分的なビューでOutputCache属性であることが判明しました。