Ungültiger Anfrage-Token bei eigenem Formular

[Spelmann]

Hallo ich habe einiges zu Anfrage-Token gelesen, komme aber nicht weiter.

AUSGANGSSITUATION:
Ich habe einen kleinen Finanzierungsrechner geschrieben (Kaufsumme/Anzahlung/Laufzeit).
Effektiver Jahreszins, Mindestlaufzeit usw. kommt aus einer MM-Tabelle.
Das Script habe ich als "finanzierung.php" unter Templates abgelegt und via Modul "eigenes HTML" included.

In das Formular (POST) habe ich folgendes hidden-field gelegt:
<input type="hidden" name="REQUEST_TOKEN" value="{{request_token}}">

PROBLEM:

• Script anfangs am Rechner getestet, lief.
• Tags darauf mal auf dem iPad getestet, Ungültiger Anfrage-Token
• Dann auf dem Rechner getestet lief hier plötzlich auch nicht mehr.
• Anfrage-Tokens in den Backend-Einstellungen deaktiviert, beiden Geräte verarbeiten das Script wie gewünscht
• Wieder aktivert, Script läuft nun immernoch auf dem Rechner, nicht mehr auf dem iPad
• Noch mal deaktiviert, getestet und wieder aktiviert, Script läuft nun plötzlich auf beiden Geräten, auf weiteren Rechnern aber nicht.

Kann mir jemand diese Willkür erklären und was ich tun muss?
Vielen Dank!!

[Lengen1971]

Hi, ich bin mir grad gar nicht mehr sicher, ob der insert_tag in einem includierten PHP verfügbar ist... helf mal kurz, wie sieht der Quellcode der Seite aus?
Speziel dieses hidden-Field?

Danke..

[Spelmann]

Hi Lengen1971,

Das hier ist es im wesentlichen:

PHP-Code:

        <form action="http://www.adresse.de/finanzierung.html" method="post" enctype="multipart/form-data" id="finanzierungsrechner">
            <label for="kaufsumme">Kaufsumme (in Euro) 
                <input name="kaufsumme" type="text">
            </label>

            usw...

            <input type="submit" value="berechnen" name="berechnen" class="btn btn-primary">
            <input type="hidden" name="REQUEST_TOKEN" value="{{request_token}}">
        </form> 


(Das Modul "eigenes HTML" mit includierter "finanzierung.php" aus dem Ordner Templates befindet sich in der selben Seite, die über das Formular aufgerufen wird.)

Naja, ich hab mir schon gedacht, dass das so vielleicht ein bisschen arg dirty ist. Muss ich vielleicht ein FE Modul erstellen und das dann ordentlich registrieren um den request Token nicht deaktivieren zu müssen, wie ich es gerade tue? Ich filtere zwar meine POST Daten nach bestem Wissen, aber das Feature wird schon seinen Grund haben.

[Lengen1971]

Guten Morgen,

ok, ich meinte, wenn du die Seite mit dem Formular im Browser aufrufst und dann den Quellcode betrachtest, ist dann der Request-Token drin?

VG

[Spelmann]

Achso, Du meintest, ob das inserttag für den Request Token überhaupt interpretiert wird?
Ja wird er. Im Quelltext habe ich eine 32stellige Zeichenfolge als value im entsprechenden Feld.

[Lengen1971]

Hi, ja, das meinte ich. Somit weiß ich aber auch grad nicht weiter.

Was aber bei uns immer wieder auffällt, ich der hartnäckige Cache vom iPad. Aber du schreibst ja, auch auf Desktops tritt das auf...

VG

[Spelmann]

Ok, danke Dir für deine Unterstützung.

Ich recherchiere mal, ob es so was wie Laufzeiten für den Request Token gibt. Wenns wirklich "nur" ein Cache Problem ist kann ich ja da vielleicht was machen.

[Spelmann]

Jetzt taucht der Hinweis "Ungültiger Anfrage-Token" beim Absenden des Formulars sogar dann auf wenn ich im Backend die Anfrage-Tokens deaktiviert habe.
Ich steh echt auf dem Schlauch und komme nicht weiter.

Hat bitte noch jemand eine Idee?

[Lengen1971]

Hi,

tatsächlich kenn ich das Problem nicht und würde jetzt mal vesuchen, ob du die Contao Version nicht mal updaten könntest; vielleicht ist das ein Bug.

Sonst auch alles probiert? Andere Interetverbindung, evtl. anderes Hosting? Nur, um evtl. den Fehler aweng einzgrenzen.

VG

[Spelmann]

Puhh,

ich hab Contao noch nie upgedatet.
Umgezogen bin ich schon, aber bei einem einfachen Umzug kopiere ich den Fehler ja dann mit.

Ich versuch mein bestes, aber meine anfängliche Begeisterung über Contao erleidet in der letzten Zeit arge Schrammen

[Lengen1971]

Versteh ich... ist aber nicht die Regel, Contao ist ein tolles System und ein solch hilfsbereites Forum findet man selten.

Gibt´s eigentlich einen Demo-Link?

VG

[Spelmann]

Ich habe jetzt mal auf einem anderen Host eine "nacktes" Contao 3.5.9 installiert und wie oben beschrieben ein simples POST Formular mit hidden Field für den Request Token in eine PHP geschrieben und via eigenes HTML mit Inserttag {{file::finanzierung.php}} eingebunden. Und siehe da: Invalid Request Token!

Es scheint also, als könne Contao schlicht ein solches Formular nicht zuverlässig verarbeiten. Mal gehts, mal nicht.

Stellt sich die Frage wie dann, ohne selber ein Modul schreiben zu müssen.

Ich möchte gern, dass der Besitzer der Seite seine Daten für die Berechnungsgrundlage der Finanzierung in den MetaModels verwaltet, der User mit den dort gespeicherten Daten dann aber im Frontend via Formular Berechnungen anstellen kann.

[Lengen1971]

Hi,

genau das hab ich grad auch gemacht und es funktioniert einwandfrei... irgendwie seltsam.

Sag mal, die Weiterleitungsseite in deinem Formular liegt aber auch unter dem gleichen 'Startpunkt einer Webseite' wie die Seite mit dem Formular, oder?

VG

[Spelmann]

Ist ja kein Contao Formular was ich da verwende.

Der Aufruf der Seite nach Absenden des Formulars erfolgt wie oben beschrieben schlicht im <form> Tag:

HTML-Code:

<form action="http://www.adresse.de/finanzierung.html" method="post" enctype="multipart/form-data" id="finanzierungsrechner">

[Lengen1971]

... ich hab auch kein Contao-Formular sondern ein Hart-Codiertes (wenn du so willst) in einer php-Datei, inkludiert über {{file::}} aus dem template-Verzeichnis.

Geht...

[Spelmann]

Ging bei mir am Anfang ja auch, das ist ja der Kummer.
Momentan gehts bei mir am Rechner mal wieder unter Chrome, FF und IE

An einem anderen Arbeitsplatz unter FF gehts nicht
Auf meinem iPad und unter Android konsequent nicht.

Cache bei allen Browsern mehrfach gelöscht
Contao Cache ebenfalls mehrfach gelöscht

Du schreibst was Betreff Weiterleitungsseite. Damit meinst Du dann die Adresse im <form> Tag, oder muss ich noch was machen?

[Lengen1971]

ne, paßt scho, ich hatte kurz so´ne Idee, dass du evtl. mehrere Startpunkte im Backend angelegt hast, das sind die Seiten mit Icon Weltkugel.

Nicht, dass die Weiterleitungsseite nicht unterhalb des gleichen Starpunktes liegt. Aber dann müßte es konsquenterweise überhaupt nie gehen..

Ich hab´s jetzt (deinen Link) über 3 Endgeräte getestet, geht einwandfrei. FF/Mac, IE/PC, Android Samsung.

VG

[Spelmann]

Krass.
Löst natürlich mein Problem nicht, verweist aber doch offensichtlich auf ein Caching-Problem oder?
Ich hab in den verschiedensten Netzwerken zu den verschiedensten Zeiten mal ein Ergebnis und mal nicht.

[Spelmann]

...scheint so !!

Statt im <form> Tag die URL hard codiert zu schreiben habe ich es mal mit inserttags versucht und landete bei folgender Schreibweise

HTML-Code:

 <form action="<?php echo $this->replaceInsertTags( '{{env::request}}' ); ?> ...usw."

Jetzt läuft das Script bei mir auf allen Arbeitsplätzen und Devices. Ich hoffe auch morgen noch.

Vielen Dank Lengen1971 für deine intensive Unterstützung!!

[Spooky]

Oder

PHP-Code:

<form action="<?= \Environment::get('requestUri') ?>">…

[Lengen1971]

Moin,

das einzigen, was mir sonst noch aufgefallen ist, ist der enctype, den hab ich nicht in meinem Formular. Ich meine aber, das hat damit nichts zu tun.

*daumen drück*

VG

[Spelmann]

LÄUFT! (leider gibt's keinen Smiley der vor Freude im Kreis springt)
Kann man hier eigentlich einen Thread irgendwo als "erledigt" markieren?

[herr rilke]

hallo spelmann,
hallo spooky,

vielen dank für den thread.

ich habe ein ähnliches problem - wo es browser-abhängig (?!) die fehlermeldung zum ungültigen token gibt.

auch ich inkludiere mit

Code:

{{file::templateverzeichnis/formular.php}}

das formular, das aus einer externen quelle eines drittanbieters (vergleichs-service) kommt und auch wieder auf eine externe URL versendet.

das ist soweit auch einwandfrei, lief im alten contao 2.9 fein und nun unter 3.5.8 gibt es diese effekte.

nun kann ich aber den vorgeschlagenen lösungsansatz von euch nicht wählen, weil

Code:

<form action="<?= \Environment::get('requestUri') ?>">…

und

Code:

 <form action="<?php echo $this->replaceInsertTags( '{{env::request}}' ); ?>

ja allenfalls auf meine eigene URL zeigen würde.

oder habe ich etwas misverstanden?

wäre euch dankbar, wenn ihr mir das erklären könntet.


viele grüße aus münster!

[Spooky]

Wenn das Formular tatsächlich eine Action hat, die nicht auf die Contao Installation geht, dann sollte es kein Problem geben.

[herr rilke]

mh, ok, du hast recht:

es gibt zuerst ein handcodiertes formular, dass eine contao-generierte seite mit GET parameter aufruft und von da geht es erst weiter an die andere adresse.

werde versuchen, in den formularen also den token einzubauen und sehen, ob das wirkt.

danke für's mitdenken!

[Spooky]

Da brauchst du eigentlich nur folgendes in dein Formular einfügen:

PHP-Code:

<input type="hidden" name="REQUEST_TOKEN" value="<?= \RequestToken::get() ?>">

oder

PHP-Code:

<input type="hidden" name="REQUEST_TOKEN" value="{{request_token}}"> 


[herr rilke]

super! danke dir für deine unterstützung!

karsten