Hallo Community,
sind von 3.5.x auf 4.6.5 managed umgestiegen und haben leider das Problem, dass man nach Absenden von allen Formularen auf die "Ungültiger Anfrage-Token"-Seite kommt.
Der Fehler tritt auf, sobald man einen neuen Browser aufmacht und tritt solange nicht mehr auf, bis man den Browser wieder schließt. Somit ist jeder neue Webseitenbesucher betroffen. Bei der Entwicklung ist der Fehler zuerst nie aufgefallen, da man eh immer den Browser auf hat bzw. auch immer im Contao Backend angemeldet ist. In den Dev-Tools habe ich bemerkt, dass es ein Cookie "csrf_contao_csrf_token" (Dachte Contao 4.6 hat Session-basiertes CSRF?) gibt, welches aber erst erzeugt wird, sobald man auf der Fehlerseite gelandet ist. Nach einem Site-Reload läuft dann wieder alles problemlos, bis der Browser komplett geschlossen wird.
Das Problem tritt bei allen Formularen auf (bei eigenen Formularen von selbstgeschriebenen Modulen, sowie bei Contao-Formulargenerator-Formularen). Wir nutzen Docker. Der Fehler tritt lokal, sowie auch auf der Test- und Produktivumgebung auf. Leider besteht momentan nicht Möglichkeit auf Contao 4.7.x upzudaten.
Wir möchten ungern die Einstellung "Anfrage-Tokens deaktivieren" aktivieren, da die Seite dann nicht CSRF geschützt ist. Oder gibt es eine Möglichkeit auf das alte Cookie-basierte CSRF umzusteigen?
Bin für jegliche Hinweise dankbar.
Grüße
Matthias
Lesezeichen