Anfrage Tokens deaktivieren, Contao 2.10.1

**eweitzel** · 11.11.2011, 15:53

Hallo,

ich benutze Contao 2.10.1 und habe ein Kontaktformular erstellt. EFG ist nicht installiert.

Leider gibt es beim Klick im Browser auf "Eine Seite zurück" das "Invalid Request Button" Problem, wenn ich versuche das Formular nochmal abzusenden.

Als workarround für dieses Problem wollte ich das Anfrage Token System deaktivieren.
System->Einstellungen->Anfrage-Tokens-Deaktivieren scheint nicht zu funktionieren.

Ich kann zwar den Haken setzen, beim Speichern wird der Hacken aber wieder gelöscht und beim Absenden eines Formulars wird weiterhin ein Token erzeugt.

Kennt jemand dieses Problem und hat vielleicht eine Lösung?

Vielen Dank für Eure Hilfe.

Gruß Edgar

***xchs*** · 11.11.2011, 15:59

Zitat von eweitzel

Ich kann zwar den Haken setzen, beim Speichern wird der Hacken aber wieder gelöscht und beim Absenden eines Formulars wird weiterhin ein Token erzeugt.

Dann hast Du ein Problem mit den Schreibrechten. Stichwort "Safe Mode Hack (SMH)". Bitte einen Contao-Check machen und das überprüfen. Die Konfigurationsdatei "system/config/localconfig.php" muss auf jeden Fall durch Contao beschreibbar sein, um System-Einstellungen speichern zu können. Wie Du den SMH konfigurierst, findest Du auf contao.org oder auch hier im Forum.

**eweitzel** · 11.11.2011, 16:51

Hallo xchs,

vielen Dank. Genau das war's. Die localconfig.php konnte nicht geschrieben werden. Nachdem ich Owner und Rechte geändert hatte und den FTP Zugang konfiguriert hatte ging's. Vielen Dank. Das hat mir sehr geholfen.

Grüße Edgar

***xchs*** · 11.11.2011, 17:01

Fein, freut mich.

Dir ist aber schon bewusst, dass das generelle Deaktivieren der Tokens u.U. auch ein Sicherheitsproblem darstellen kann?

In der nächsten Minor Version 2.11 wird das Request Token System dahingehend angepasst, dass eine entsprechende Prüfung nur noch einmal pro Session stattfindet:

Angepasstes Request-Token-System

Das in der Version 2.10 eingeführte Request-Token-System wurde von einem "ein Token pro Anfrage"-Ansatz auf ein "ein Token pro Session"-Ansatz umgestellt. Obwohl sich dadurch die Sicherheit des Token-Systems verringert, wächst die Usability der Webseite insofern, als dass man jetzt z.B. Formulare mehrfach abschicken kann, ohne dass die "invalid token"-Fehlermeldung erscheint.

(Quelle: contao.org)

Das sollte dann ein annehmbarer Kompromiss zwischen UX und sicherheitsrelevaten Aspekten sein.