背景详细信息
我们最近遇到了一个问题，用户a可能会无意中劫持用户b的会话，该用户试图在（几乎）与用户a同时访问控制器生成的下载。
我们仍然不能百分之百确定发生这种情况所必需的所有条件，但我们可以在生产和准备环境中可靠地重现问题。这些环境的重要细节如下。
环境详细信息
应用服务器：phusion passenger 5.0.21或5.0.24（这意味着我们尝试了两个版本，并且都复制了这个问题）
框架：Rails 4.2.4
语言：ruby 2.2.3
操作系统：CentOS 6
有趣的是，我们不能用Phusion Passenger 4.0.53再现这个问题。
重现劫持的步骤
这似乎太简单了，不可能是真的，但这是所有必要的。
用户A登录系统
用户b登录系统
用户A和B都在（几乎）同一时间快速点击同一个下载按钮
这就是某人的会话被无意劫持所需的全部时间。（关于A或B的会话是否被劫持，这看起来像是轮盘赌，尽管它可能不像看起来那么随机。）
我们知道用户的会话被劫持了，因为我们可以在页面上看到当前会话的用户名和名。
每次，一个用户“变成”另一个用户。
如果用户访问角色不同，也意味着您现在可能拥有不同级别的访问。例如，如果某个人无意中劫持了会话，他可能会突然成为管理员…
需要代码
最初看起来，phusion passenger是导致这个问题的唯一原因，因为当我们切换回版本4时，这个问题不再出现。
但是，在一些代码更改之后，我们确定控制器代码中的一个方法似乎导致了这个问题的发生。
下面是一个示例控制器方法，可以在Phusion Passenger 5.0.21或5.0.24上生成此问题：

def sample_method
  respond_to do |format|
    format.csv {
      headers.merge!({'Cache-Control'=>'must-revalidate, post-check=0, pre-check=0'})
      render :text => proc { |response, output|
        100.times do |i|
          output.write("This is line #{i}\n")
        end
      }
    }
  end
end

  format.csv {
    send_data data_here, filename: filename, type: 'text/csv', disposition: 'attachment'
  }

您的cache control语句允许缓存（它强制重新验证，即浏览器/缓存不会直接从缓存提供请求，但不会停止返回缓存响应）。而rails发出的默认缓存控制头包含“private”，不允许通过中介代理进行缓存（仍然允许浏览器缓存）。
考虑到响应可能包括rails会话cookie，缓存该响应并将其重用给另一个用户会导致第二个用户从第一个用户获取cookie。即使您使用的是数据库支持的会话存储，您仍然会得到cookie来标识数据库中要使用的行。任何时候显示私有内容时，都需要非常小心地缓存头。
乘客版本相关的原因是乘客5包括http缓存层。你的错误仍然存在于乘客4中，只是很难触发（例如，公司代理背后的2个用户）。
几乎可以肯定，您应该将响应标记为private，这意味着中介缓存（包括passenger中的缓存）不会缓存响应。phusion写了一个blog post详细描述了这一点。你也可以完全关闭TurboCaching，因为在默认情况下，Rails会将所有响应标记为私有，所以无论如何，它在你的应用程序中可能不会做任何有用的事情。