Formular-Versand - Ungültiges Token - Sicherheitsfrage verursacht das Problem?

**blackbee** · 22.11.2023, 08:50

Hallo zusammen,

auf einer Installation (4.13.x) tritt erneut das Problem auf, dass sich ein Formular nur sporadisch abschicken lässt. Mal geht es mal geht es nicht (Ungültiges Token).

Das Problem lies sich soweit eingrenzen, dass das Problem genau dann auftritt, wenn man direkt und ohne Umwege die URL mit dem Formular im Browser öffnet.
Bei weiteren Tests konnten wir feststellen, dass es auch auftritt, wenn man alle Cookies entfernt.

Ich habe mir anderen Posts zu dem Thema hier auch angeschaut, die alle ohne zufriedenstellende Lösung oft verlaufen sind bzw. das Problem andere Ursachen hatten.

Dieser Satz von Spooky - ich hoffe er liest mit - hat mich zum Nachdenken angeregt:

https://community.contao.org/de/show...l=1#post570586

Denn genau dieses Verhalten wird provoziert, wenn man im Formular das Element "Sicherheitsfrage" einbaut.
In früheren Contao CMS Versionen (ich glaube bis einschließlich 4.4 wurde die Sicherheitsfrage immer ausgeworfen). Danach ist es geändert worden und sie wird nur angezeigt, wenn ich vielleicht ein Bot bin.

Ich habe die Sicherheitsfrage in dem entsprechenden Formular rausgenommen und die Probleme sind weg.

Jetzt aber die Frage in die Runde, bevor ich ein Issue aufmache:

Kann jemand das Problem bestätigen das möglicherweise in Verbindung mit der Sicherheitsfrage auftritt ?

Vorgen zum Reproduzieren wäre es:
* Formular mit Sicherheitsfrage aufsetzen
* Cookies leeren/Browser schließen
* URL mit Formular direkt aufrufen mittels URL-Eingabe

**Spooky** · 22.11.2023, 09:07

Poste die genaue Contao Version und die URL zum Formular.

**blackbee** · 22.11.2023, 11:24

Nachdem wir weitere Analyse betrieben haben, haben wir die Ursache für das Problem gefunden.

Es war nicht die Sicherheitsfrage aus Contao, sondern der consentmanager (consentmanager.net), den wir für das Consentmanagement einsetzen.

Zusammen mit dem Hinweis von (dir) Spooky und diesem Issue hier (https://github.com/contao/contao/iss...ment-796813028) sind wir auf die Spur gekommen, dass der consentmanager ein Cookie setzt, nachdem die Seite gerendert wurde. Dies führt natürlich dazu dass wir ein befülltes REQUEST_TOKEN benötigen, welches aber leer ist und somit das Verarbeiten abgewiesen wird.

Wir haben es jetzt so gelöst, das auf allen Seiten die ein Formular enthalten, wir ein RELOAD (siehe dazu constentmanager - API - Events) machen, nachdem der Benutzer eine Auswahl getroffen hat. Das ist zwar nicht die eleganteste Lösung, erfüllt aber für diesem speziellen Fall Ihren Zweck.