清除浏览器记录后再打开发现
注册按钮的链接https://xx/Login (注册功能已经关闭)
登录按钮的链接https://xx/Home
点击登录按钮就会直接进入https://xx/Home页面,并且右上角的头像按钮还泄露了A用户名及其邮箱地址(浏览器记录已经全部清空了)
接着使用不同于上文所述的账号(B)登录,右上角头像按钮显示的信息仍然是上面那个账号(A)。
(反复试了几次,泄露的账号是最后一次所登录的账号)
=======================
另外,个人资料页(https://xxx/Profile/x),左侧的“我的文件”按钮则链接到了https://xxx/,正常应该是https://xxx/Home
无错误日志
centos 7
nginx 1.6
php 7.3
mariadb 10.3