cURL mit POST - INVALID REQUEST TOKEN

[Deinos]

Hallo ich bin neu mit Contao und hatte jetzt schon überall gesucht wie man eine POST Anfrage mit cURL senden kann. Das REQUEST TOKEN kann ich ja (anscheinend) unproblematisch mittels REQUEST_TOKEN -Konstante mitschicken (Beim cURL-Post-Request), allerdings kommt trotzdem jedesmal die Ausgabe "Invalid Request Token".
Bei der cURL-Anfrage schicke ich das Request Token mit dem Schlüssel REQUEST_TOKEN mit, zuzüglich hatte ich auch schon probiert die Parameter "FORM_SUBMIT" mit einem entsprechenden Feld-Parameter mitzuschicken, um zu testen ob Post-Requests formularabhängig sind, allerdings hatte das keine Auswirkungen.

Hat jemand eine Idee woran das liegen könnte?

[Spooky]

Du kannst nicht einfach irgendein Request Token schicken - du musst ein gültiges Request Token schicken . Das Request Token wird bei einem regulären GET Request generiert und dann in einem Formular als verstecktes Feld ausgegeben.

[Deinos]

Hm heisst das die Konstante "REQUEST_TOKEN" ist nicht das Request Token welches zum mitschicken einer Anfrage benutzt werden sollte?
Die Konstante lasse ich mir in dem rocksolid custom element ausgeben welches in der aufrufenden Seite eingebunden ist.
Damit meine ich, ich gebe nicht "irgendein" Request Token mit, sondern das was von Contao in der Konstante hinterlegt wird.
Nachtrag:
Ist es normal das jede meiner Seiten das gleiche Request Token hat?
Ich habe die Konstante in unterschiedlichen Unterseiten/Hauptseiten ausgegeben und es ist immer das gleiche.
Das hier wäre die Testanfrage:
$data= array("REQUEST_TOKEN"=>REQUEST_TOKEN,"Testformular Feld"=>"bla");
$ch = curl_init($url)
curl_setopt($ch, CURLOPT_POSTFIELDS, $data);
curl_setopt($ch, CURLOPT_POST, count($data));
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
$result = curl_exec($ch);
curl_close($ch);

[Deinos]

Ok also ich habe nun einmal eine GET-cURL-Anfrage an eine Unterseite geschickt und das dortige REQUEST_TOKEN zurückgeben lassen.
Dieses ändert sich mit jeder Anfrage, anders als beim bloßen öffnen jedweder Seite wo das Token konstant immer das gleiche ist.

Im Weiteren versuchte ich nun dieses zurückerhaltene Token für eine POST-Anfrage zu nutzen was allerdings wieder ein Invalid Request Token als Antwort zur Folge hat.
Ich hatte auch probiert in der Unterseite eine direkte weitere cURL-Anfrage an sich selbst zu schicken, mittels POST, was bei der ursprünglich anfragenden Seite allerdings zu keiner Rückgabe führte.
(Also Seite1 cURL-GET -> Seite2, Seite2 cURL-POST
-> Seite2 if bei POST rückgabe
-> Seite2 cURL auswertung von Seite2 echo result
-> Seite1 cURL Auswertung von Seite2
= Leere Rückgabe in Seite1
)
Weiß nicht was du sonst mit erstiger GET-Anfrage für ein funktionierendes Token meinen könntest.

[Spooky]

Ok also ich habe nun einmal eine GET-cURL-Anfrage an eine Unterseite geschickt und das dortige REQUEST_TOKEN zurückgeben lassen.
Dieses ändert sich mit jeder Anfrage, anders als beim bloßen öffnen jedweder Seite wo das Token konstant immer das gleiche ist.

In Contao 4.0 bis 4.4 bezieht sich das gültige Request Token auf die Session. Ab Contao 4.5 wird das CSRF Token als Cookie gespeichert und mitgeschickt.

Was genau hast du überhaupt vor?

[webstar]

Da der Request Token meines Wissens in der User Session gespeichert wird, müsstest du auch sicherstellen, dass der Session-Cookie mit weitergereicht wird an den Post-Request. Sonst ist es für Contao ein anderer Nutzer.

[Deinos]

In Contao 4.0 bis 4.4 bezieht sich das gültige Request Token auf die Session. Ab Contao 4.5 wird das CSRF Token als Cookie gespeichert und mitgeschickt.

Was genau hast du überhaupt vor?

Ich will Server-anfragen schicken, von einer Seite zu einer anderen, Antwort erhalten und diese verarbeiten... Das ganze mit cURL, und am liebsten als JSON übergeben, aber solange wenigstens Irgendeine Art der Kommunikation über POST funktionieren würde wäre ich schon glücklich.
Die genutzte Contao-Version ist 4.4.19.

[Spooky]

Am einfachsten ist es wohl, wenn du die Domain des Senders beim Empfänger in der localconfig.php unter

PHP-Code:

$GLOBALS['TL_CONFIG']['requestTokenWhitelist'] = ['example.com']; 


einträgst. POST Requests von dieser Domain brauchen dann keine gültigen Request Tokens.

[Deinos]

Am einfachsten ist es wohl, wenn du die Domain des Senders beim Empfänger in der localconfig.php unter

PHP-Code:

$GLOBALS['TL_CONFIG']['requestTokenWhitelist'] = ['example.com']; 


einträgst. POST Requests von dieser Domain brauchen dann keine gültigen Request Tokens.

Hm das hatte ich eigentlich gehofft zu umgehen, da die unverbindliche Ansage war das das Token zur Kommunikation genutzt werden soll.
Hatte jetzt nochmal das Cookie ausgelesen und mit cURL weiter geschickt aber hatte keine Änderung der Situation zur Folge.

[Deinos]

Am einfachsten ist es wohl, wenn du die Domain des Senders beim Empfänger in der localconfig.php unter

PHP-Code:

$GLOBALS['TL_CONFIG']['requestTokenWhitelist'] = ['example.com']; 


einträgst. POST Requests von dieser Domain brauchen dann keine gültigen Request Tokens.

Ich habe es jetzt dennoch über whitelist probiert. Im moment läuft alles über Xampp, dementsprechend kommuniziert der gleiche Contao-Server mit sich selbst und ergo eine einzige localconfig.php, welche ich bearbeitet habe, trotzdem kommt weiterhin Invalid Request Token.
Eingetragen habe ich dort von absoluten Pfaden zu den einzelnen Artikeln bis hin zur master domain localhost.