Formular Versand - Invalid request token

**snarosy** · 29.02.2024, 08:33

Ich habe ein Versand-Problem mit einem Formulars.
Contao 4.13.37
Nach dem Absenden erscheint der Fehler:
Invalid request token

Der Fehler tritt aber nicht immer auf.
So wie ich das jetzt erkennen kann geht's im Chrome, aber nicht im Edge.
In den Logs finde ich keine Fehlermeldung...

SMTP-Server ist über die parameters.yml eingetragen, notification center verwende ich nicht.
Das Problem ist aber neu, der Versand hat schon funktioniert ohne Fehlermeldung.

Link: https://wopfinger.ro/organizatii/contact.html

**snarosy** · 29.02.2024, 09:11

Habe eben geshen, dass das Thema auch hier besprochen wird...
https://community.contao.org/de/show...ken-mal-wieder

ICh poste dort weiter...

**Spooky** · 29.02.2024, 09:18

Liegt vermutlich an eurer Consent Lösung. Folgender AJAX Request nach akzeptieren des Consent Overlays scheint intern eine Session zu starten: https://wopfinger.ro/organizatii/con...amp=1709198200
Zumindest antwortet Contao mit contao-private-response-reason: session-cookie

**snarosy** · 29.02.2024, 10:00

ok,
interessanterweise hat es vorhin noch in firefox und chrome funktioniert, jetzt gehts da auch nicht mehr.
Das heisst das Problem ist beim Consent Manager zu suchen?
Eben dieses thema dazu entdeckt: https://forum.premium-contao-themes....ormularversand

**Spooky** · 29.02.2024, 10:05

Zitat von snarosy

Das heisst das Problem ist beim Consent Manager zu suchen?

evt. ja. Unter Umständen liegt hier aber auch ein Bug in Contao vor, dazu bräuchte es aber eine unabhängige Reproduktion.

**snarosy** · 29.02.2024, 10:23

Ein Downgrade auf 4.13.36 hat offensichtlich zumindest vorrübergehend das Problem beheben können.
Betrifft eine PCT-Installation.
Andere Installationen mit anderen Themes (ohne Consent Management) zeigen das Problem nicht.

**snarosy** · 01.03.2024, 09:32

Möchte das Thema nochmals aufgreifen.
Interessanterweise wird der Token gesetzt, wenn ich parallel im Browser in einem zweiten Tab im Backend angemeldt bin.
Öffne ich die Seite in einem privaten fenster, wird er nicht mehr gesetzt.
Betrifft wie gesagt die 4.13.37-Version.

**mlweb** · 01.03.2024, 11:19

Zitat von snarosy

Interessanterweise wird der Token gesetzt, wenn ich parallel im Browser in einem zweiten Tab im Backend angemeldt bin.

Das es nur mit Deinem Backend-Login zusammenhängt wage ich zu bezweifeln, denn @Spooky war sicher nicht bei Euch im Backend eingeloggt und hatte festgestellt, dass eine Session gestartet wurde.

Zitat von Spooky

Liegt vermutlich an eurer Consent Lösung. Folgender AJAX Request nach akzeptieren des Consent Overlays scheint intern eine Session zu starten: https://wopfinger.ro/organizatii/con...amp=1709198200
Zumindest antwortet Contao mit contao-private-response-reason: session-cookie

**snarosy** · 05.03.2024, 09:03

Wir haben dies im PCT-Forum auch besprochen.
Das Problem gab es offenbar auch ohne der internen Consent-Manager Lösung von PCT.
https://forum.premium-contao-themes....rversand/page2
Ich bin aber ehrlich gesagt, wie man hier genau bei der fehleranalyse ansetzen soll...

**Spooky** · 05.03.2024, 09:05

ggf. muss halt jemand dafür angeheuert werden, wenn PCT das nicht selbst debuggen und entsprechend einen PR bei Contao stellen kann, wenn sich herausstellt, dass der Fehler bei Contao liegt.

**SpeGal** · 05.03.2024, 13:00

Es liegt am Contao-Caching. Sobald der Cache für die Seiten deaktiviert ist, funktionieren die Formulare wieder einwandfrei.

Durch das Caching wird neuerdings irgendwie der Formular-Token mitgecached, was natürlich nicht sein dürfte, und dann hat das Formular nen falschen Token und verweigert den Versand, weil er denkt, es wäre ein Roboter ...

**mlweb** · 05.03.2024, 13:12

Wenn es an Contao liegt müssten doch bei den Contao-Core Formulare dieses Problem auch auftreten.

**SpeGal** · 05.03.2024, 13:39

Das ist natürlich ein Argument. Evtl. liegt es an einem falschen Template, das müsste man mal noch genauer erroieren.

Trotzdem ist schon mal gut zu wissen, dass es mit dem Caching zusammenhängt und es zumindest ein Workaround gibt

**zoglo** · 05.03.2024, 13:46

Prevent argument errors on malicious login attempts
https://github.com/contao/contao/com...af4a4f25a91f92

Handle empty sessions in the CSRF cookie subscriber
https://github.com/contao/contao/com...f290d734236c55

Randomize CSRF tokens once per request
https://github.com/contao/contao/com...0654f483778af1

Improve the CAPTCHA
https://github.com/contao/contao/com...43553f45eca00d

Die oberen Sachen könnten was verändert haben.
Wenn Premium-Themes angepasste form-templates haben (auch form_captcha), müssen diese für die 4.13.37 angepasst werden.

Ich würde also vorschlagen, dass du auf 4.13.36 lockst und hierbei die folgenden Features in vollster Weise genießen kannst:

Erhalte Fehler bei böswilligen Anmeldeversuchen -> Prevent argument errors on malicious login attempts
Fühle dich nicht ganz allein, denn du bekommst eine Menge netter E-Mails -> Improve the CAPTCHA