Ungültiges Anfrage-Token bei Paypal-Rückleitung

***Nina*** · 29.09.2020, 09:23

Wir haben via iFrame ein Formular der Fundraisingbox in einer Website integriert. Wenn die Nutzer darüber spenden und per Paypal bezahlen, werden sie danach auf eine simplen Dankeseite in der Contao-Website weitergeleitet. Dummerweise begrüßt Contao sie dort dann immer mit einer "Ungültiges Anfrage-Token"-Meldung.

Ich habe auch diese Zeile in die localconfig aufgenommen, im Versuch die Anfrage so entgegen zu nehmen, dass Contao keinen Stress hat
Siehe auch https://github.com/contao/core/commi...2af9ec082526a2

Code:

$GLOBALS['TL_CONFIG']['requestTokenWhitelist'][] = 'paypal.com';

Das scheint aber auch nichts zu bringen oder aber in Contao 4 nun anders zu laufen. Weiß jemand, ob man das unter C4 ggf anders einbauen muss? Oder ob Paypal für diese Weiterleitungen eventuell eine andere Domain nutzt?

**Spooky** · 29.09.2020, 09:28

Du müsstest dir entweder eine eigene Route bauen, wo kein Request Token verlangt wird (aber wo du dann selbst überprüfst, ob der Request Valid ist) oder einen EventListener bauen, wo du die Request Parameter auf die PayPal Daten überprüfst und die Request Token Überprüfung dementsprechend abstellst.

***Nina*** · 29.09.2020, 09:43

Ich möchte ja gar nichts mehr prüfen. Es geht nur darum, dass der Nutzer am Ende (der gesamte Bezahlvorgang läuft eh bei Paypal) eine nette Dankeseite sieht. Dort ist keinerlei Onlineshop-Routine o.ä. vorgesehen.

**Spooky** · 29.09.2020, 09:46

Ja, aber PayPal leitet auf die angegebene Seite per POST Request weiter. POST Requests werden in Contao durch Request Tokens geschützt. Und daher kommt es zu diesem Fehler, weil PayPal natürlich kein gültiges Request Token mitsendet.

***Nina*** · 29.09.2020, 10:07

Genau. Und genau um das Problem zu lösen, dachte ich, dass oben die Zeile reichen würde. Aber entweder das war nie so (dann fand ich aber die Erklärung dort irreführend) oder es wurde in C4 geändert?

**Spooky** · 29.09.2020, 10:15

Die requestTokenWhitelist funktioniert nur für IPN Requests, die direkt von PayPal kommen. Die Rückleitung auf die Success Seite von PayPal erfolgt aber nicht von PayPal selbst - sondern PayPal lässt (per JavaScript) einen POST Request beim Client auf die Success Seite auslösen. Daher kommt der Request nicht von PayPal sondern vom Browser der Besucher*in - und daher kann auch die Allowlist hier nicht greifen.

***Nina*** · 29.09.2020, 11:24

Danke für die Erklärung! Und: verdammt. Ich hatte auf eine einfache Lösung gehofft.

***Nina*** · 29.09.2020, 13:12

Als "quick and dirty"-Lösung haben wir jetzt unterhalb von /web/ einen /danke/-Ordner mit einer statischen index.html angelegt, in der wiederum ein Meta Refresh sofort auf die eigentliche Dankeseite leitet. So geht nun die Paypal-Weiterleitung erst zu dieser statischen URL und dann von dort zur eigentlichen Dankeseite.

Diese Herangehensweise ist NICHT empfehlenswert, weil es jederzeit sein kann, dass Contao ggf. bei einem Update oder durch eine Extension diesen Inhalt unter dem /web/-Ordner entfernt bzw. man in Zukunft nicht mehr daran denkt und es mal bei einem Update verloren geht.

Aber so haben wir nun die Zeit um eine saubere echte Lösung zu programmieren, die updatesicher ist und auch für unterschiedliche Dankeseiten genutzt werden kann (wenn in einer Contao-Installation verschiedene Webprojekte und verschiedene Spendenformulare mit jeweils eigenen Dankeseiten hinterlegt sind).