野火论坛WEB端链接混用导致已登录状态异常

SysRq

  管理员,你好.

关于野火论坛网页版存在链接混乱的问题,我在6月份曾经发过贴,但一直没有改善.
这次http://firebbs.cn和http://www.firebbs.cn混用引起了登录状态丢失的问题.


故障现象:

如果我在http://firebbs.cn开头的页面上登录成功, 那么我在http://www.firebbs.cn开头的页面上是未登录状态.
反之,如果我在http://www.firebbs.cn开头的页面上登录成功,那么会在http://firebbs.cn开头的页面上失去登录状态.

典型的i.MX6版块属于http://firebbs.cn开头的, DoorNet版块则属于http://www.firebbs.cn开头的.
只拿它们俩举例,不代表只有这两个版块存在问题,全站版块的链接需要排查.


这个问题可被论坛会员两次登录同一账号掩盖下来. 也可分别登录两个不同的账号,做一个野火论坛的两面人(实现帐号的负载均衡??).

下面我用动态图片的形式展示一下这个问题带来的影响(论坛编辑器挺魔幻没有百分百把握能把图片成功插入).

Memory#

确实有这个问题，我们排查排查

Memory#

热爱论坛的兄弟太牛了这些小细节都检查到

reese

确实是有这个问题，Firefox 没强制跳转https, Chrome 在logout 后有几率出现这种问题， 目前临时修复了这个问题。后续麻烦帮忙观察一下

flyleaf

已解决，感谢反馈，感谢上面各位大佬的测试

SysRq

@Memory# @reese @flyleaf 各位关注此问题,俺甚感欣慰.
今天我来论坛首先清空firebbs.cn和www.firebbs.cn两个域名的cookie,
测试几个链接后发现昨天的一些链接变成http://www.firebbs.cn开头另有一些是相对链接形式的.
但现在咱们在此相遇的"论坛建设"版块依然是http://firebbs.cn开头的.在� ... bbs.cn依然来到 [/url]的平行宇宙.
管理员修复论坛的工作值得肯定,但没有袪除病根.
关于平行宇宙的问题,我分析是*.firebbs.cn这个子域名保存登录信息相关的cookie没有和firebbs.cn域名共享.
论坛程序在设置cookie时没有显式指定domain属性为firebbs.cn . (搜索 discuz 子域名 cookie 共享 有解决办法)
www.firebbs.cn设置的cookie其domain属性被设置为[url=www.firebbs.cn]www.firebbs.cn[/url], 而firebbs.cn无法读取.

让俺费解的是firebbs.cn的cookie,domain已经是firebbs.cn. 那为啥子域名www.firebbs.cn也读取不了呢?

查书没找到答案.后来在MDN上找到了解释.

Domain=<domain-value> 可选
    指定 cookie 可以送达的主机名。假如没有指定，那么默认值为当前文档访问地址中的主机部分（但是不包含子域名）。与之前的规范不同的是，域名之前的点号会被忽略。假如指定了域名，那么相当于各个子域名也包含在内了。

https://developer.mozilla.org/zh ... /Headers/Set-Cookie
表面上看来firebbs.cn上的cookie的domain被设置为firebbs.cn,实际上是自动设置的默认值相当于私有的,子域名无权访问.

我向管理员提出两个修复建议:
1. 全站的超链接统一改成相对链接的形式
2. 论坛程序设置cookie的地方,把cookie的domain显式指定为firebbs.cn

SysRq

咋搞的,回帖里还有乱码呢?
乱码1解码: 在浏览器地址栏手动输入firebbs.cn依然来到www.firebbs.cn的平行宇宙.
乱码2解码: www.firebbs.cn 设置的 cookie 其 domain 属性被设置为 www.firebbs.cn , 而 firebbs.cn 无法读取.

建议3:  论坛的编辑器需要升级,标签乱套经常见.帖子发布后再编辑,越编辑越乱.

SysRq

论坛时区是东九区?
北京时间10:13编辑帖子, 页面显示俺11:13编辑了帖子,有些穿越.

flyleaf

啊，这些问题得认真查查