contao_csrf_token bei Verwendung von js-cookie

[derMatze82]

Hallo zusammen,

ich habe einen simplen Alters-Verifizierung-Störer geschrieben, bei dem der Besucher zunächst zustimmen, muss, dass er über 16 Jahre alt ist, um die Seite zu nutzen. Beim Akzeptieren setze ich mittels js-cookie (https://github.com/js-cookie/js-cookie) ein entsprechendes Cookie (secure, path=/) gesetzt. Beim erneuten Laden der Seite befindet sich nun plötzlich das csrf_https-contao_csrf_token Cookie im Anfrage-Header, obwohl kein Formular oder ähnliches eingebunden ist (auch der Störer hat kein Formular; generell ändert sich der Content nicht beim Akzeptieren des Cookies, lediglich der Störer entfällt). Dadurch ist natürlich kein Shared Cache möglich, diesen möchte ich aber gerne nutzen.
Hat jemand eine Idee?

Danke und liebe Grüße
Matze

[Spooky]

Das CSRF Token Cookie wird eben gesetzt, weil nun ein Cookie mit potentiell persönlichen Daten vorhanden ist. Also das CSRF Token Cookie wird von Contao immer dann gesetzt, wenn irgendwelche Cookies existieren (außer das CSRF Token Cookie selbst).

Wofür genau brauchst du dieses Cookie?

[derMatze82]

Hi Spooky,

bei einem anderen Contao Projekt nutzen wir einen Cookie-Consent Manager, der ebenfalls (third-party) Cookies setzt (Domain entspricht der Contao-Domain), dort setzt Contao das csrf_token Cookie nicht, obwohl definitiv im Request die Consent Cookies gesetzt werden (cookie: __cmpcc=1; __cmpconsent19334=XXX; __cmpcccu19334=XXX). Alle Seiten in diesem Projekt werden aus dem Shared-Cache ausgegeben. Beide Projekte nutzen Contao 4.12. Deswegen bin ich ja so ratlos.

Die Seite darf nur genutzt werden, wenn der User über 16 ist (Alkohol), deswegen benötige ich das Cookie.

[Spooky]

bei einem anderen Contao Projekt nutzen wir einen Cookie-Consent Manager, der ebenfalls (third-party) Cookies setzt (Domain entspricht der Contao-Domain), dort setzt Contao das csrf_token Cookie nicht, obwohl definitiv im Request die Consent Cookies gesetzt werden (cookie: __cmpcc=1; __cmpconsent19334=XXX; __cmpcccu19334=XXX).

Evt. verwendest du dort eine eigene COOKIE_ALLOW_LIST bzw. COOKIE_REMOVE_FROM_DENY_LIST?

Die Seite darf nur genutzt werden, wenn der User über 16 ist (Alkohol), deswegen benötige ich das Cookie.

Aber dann kannst du den Shared Cache ja ohnehin nicht benutzen, da der Response von diesem Cookie abhängt.

[derMatze82]

Danke für den Tipp, ich habe in die .env nun folgende Zeile eingefügt:
COOKIE_ALLOW_LIST=PHPSESSID,csrf_https-contao_csrf_token,csrf_contao_csrf_token,trusted_d evice,REMEMBERME
Jetzt kommt die Seite auch nach Akzeptieren des Cookies aus dem Shared Cache.

Da die Prüfung und das Setzen des Cookies JS seitig passiert, passt es nun so

[Spooky]

Da die Prüfung und das Setzen des Cookies JS seitig passiert, passt es nun so

Wenn das Cookie ohnehin für den Server uninteressant ist, dann solltest du auch kein Cookie setzen. Nutze localStorage dafür.

[derMatze82]

da hast du Recht, danke für den Ansatz