Ergebnis 1 bis 30 von 30

Thema: Ungültiges Anfrage-Token nach Formularversand bei gelöschten Cookies

  1. #1
    Contao-Nutzer Avatar von Diana
    Registriert seit
    30.10.2009.
    Ort
    Karlsruhe
    Beiträge
    52
    Partner-ID
    11708

    Standard Ungültiges Anfrage-Token nach Formularversand bei gelöschten Cookies

    Hallo Zusammen!
    Ich habe folgende schöne Knobelaufgabe für euch:

    Fehlerbild
    Wenn man das Anmeldeformular abschickt, wird folgender Fehler angezeigt:
    ###
    Ungültiges Anfrage-Token
    Was ist das Problem?
    Das Request-Token konnte nicht validiert werden.

    Der Fehler tritt bei einer POST-Anfrage ohne gültiges Request-Token auf. In Contao 2.10 wurde die Referer-Prüfung durch ein Request-Token-System ersetzt. Wenn das Problem anhält, verwenden Sie eventuell eine inkompatible Drittanbieter-Erweiterung oder haben Ihre Contao-Installation nicht vollständig aktualisiert.
    ###

    Im Logfile steht:
    [2023-06-15T06:08:38.518274+02:00] security.INFO: Populated the TokenStorage with an anonymous Token. [] []

    Reproduktion
    Der Fehler tritt nicht immer auf. Ich kann ihn reproduzieren, indem ich zunächst die Cookies lösche und dann das Formular befülle und abschicke.

    Installation
    PHP 8.1.13
    Contao 4.13.16
    Erweiterungen: Notification Center 1.7.1
    Netzhirsch/cookie-opt-in-bundle 2.8.42

    Das Caching auf der Antwortseite ist ausgeschaltet.
    Die Seite setzt Cookies für Meta und Google.
    Das Formular versendet im Erfolgsfall per Notification Center eine E-Mail über den Standard E-Mail-Gateway.

    Für mich klingt es wie dieser Fehler:
    https://github.com/contao/contao/issues/2820
    Aber der sollte ja in Contao 4.13 behoben sein, oder?

    Ich bin ratlos, wo ich weitersuchen soll. Hinweise, die zur Ergreifung dieses Fehlers führen, bitte unten anfügen.

  2. #2
    Community-Moderator
    Wandelndes Contao-Lexikon
    Avatar von Spooky
    Registriert seit
    12.04.2012.
    Ort
    Scotland
    Beiträge
    35.517
    Partner-ID
    10107

    Standard

    Poste einen Link zum Formular.
    » sponsor me via GitHub or PayPal or Revolut

  3. #3
    Contao-Nutzer Avatar von Diana
    Registriert seit
    30.10.2009.
    Ort
    Karlsruhe
    Beiträge
    52
    Partner-ID
    11708

    Standard

    https://dev.bbseminar.de/anmeldung.html

    Bei der Seminarnr kannst du TEST eintragen.
    Geändert von Diana (15.06.2023 um 09:51 Uhr)

  4. #4
    Community-Moderator
    Wandelndes Contao-Lexikon
    Avatar von Spooky
    Registriert seit
    12.04.2012.
    Ort
    Scotland
    Beiträge
    35.517
    Partner-ID
    10107

    Standard

    Unabhängig vom aktuellen Problem: auf der Seite wird ungefragt Facebook eingebunden, egal was man im Consent Overlay bestätigt.
    » sponsor me via GitHub or PayPal or Revolut

  5. #5
    Contao-Fan
    Registriert seit
    24.02.2021.
    Beiträge
    984
    Contao-Projekt unterstützen

    Support Contao

    Standard

    <input type="hidden" name="REQUEST_TOKEN" value="">

    Es wird kein Request-Token mitgegeben.
    Es kann sein, dass du modifizierte Form-Templates hast, diese müssen an Contao 4.13 angepasst werden.

  6. #6
    Community-Moderator
    Wandelndes Contao-Lexikon
    Avatar von Spooky
    Registriert seit
    12.04.2012.
    Ort
    Scotland
    Beiträge
    35.517
    Partner-ID
    10107

    Standard

    Zitat Zitat von zoglo Beitrag anzeigen
    <input type="hidden" name="REQUEST_TOKEN" value="">

    Es wird kein Request-Token mitgegeben.
    Es kann sein, dass du modifizierte Form-Templates hast, diese müssen an Contao 4.13 angepasst werden.
    Nein, das ist normal.
    » sponsor me via GitHub or PayPal or Revolut

  7. #7
    Contao-Fan
    Registriert seit
    24.02.2021.
    Beiträge
    984
    Contao-Projekt unterstützen

    Support Contao

    Standard

    Zitat Zitat von Spooky Beitrag anzeigen
    Unabhängig vom aktuellen Problem: auf der Seite wird ungefragt Facebook eingebunden, egal was man im Consent Overlay bestätigt.
    Wenn dem so ist, dann sollte man dem Consent-Tool Hersteller den Fehler melden (https://www.netzhirsch.de/contao-coo...in-bundle.html)

  8. #8
    Contao-Fan
    Registriert seit
    24.02.2021.
    Beiträge
    984
    Contao-Projekt unterstützen

    Support Contao

    Standard

    Zitat Zitat von Spooky Beitrag anzeigen
    Nein, das ist normal.
    Wenn man über HTML irgendeinen RequestToken als Value im Formular mitsendet, funktioniert es aber

    DANKE FÜR IHRE ANMELDUNG.
    ....

  9. #9
    Community-Moderator
    Wandelndes Contao-Lexikon
    Avatar von Spooky
    Registriert seit
    12.04.2012.
    Ort
    Scotland
    Beiträge
    35.517
    Partner-ID
    10107

    Standard

    Solange dein POST Request keinen Request Token braucht, generiert Contao auch keinen Request Token.

    Ich konnte das Problem auf der Seite jedenfalls nicht reproduzieren.
    » sponsor me via GitHub or PayPal or Revolut

  10. #10
    Contao-Fan
    Registriert seit
    28.02.2011.
    Beiträge
    720

    Standard

    Hallo zusammen,

    ich habe das Problem auch immer mal wieder.
    Es war dann angesagt, das es mit der aktuellen contao 4.13 gelöst sein sollte.
    https://community.contao.org/de/show...l=1#post570579

    Leider hat ein Kunde die Fehlermeldung auch mit 4.13 noch mal bekommen ...

    Wie geschrieben, ist der Fehler schwer reproduzierbar ist, er tritt nur selten auf, aber die Kunden wollen natürlich zuverlässig (immer) funktionierende Formulare.

    Viele Grüße,
    conter

  11. #11
    Contao-Nutzer Avatar von Diana
    Registriert seit
    30.10.2009.
    Ort
    Karlsruhe
    Beiträge
    52
    Partner-ID
    11708

    Standard

    Danke für eure Antworten.
    Das Template habe ich überprüft. Daher scheint der Fehler nicht zu rühren.
    Tatsächlich scheint Ruhe zu sein, seit ich den Facebook-Codeschnipsel ausgebaut habe. Ich beobachte und berichte.

    Ob ein Fehler im Consent-Manager vorliegt, ob ich ihn falsch konfiguriert habe oder ob es am Codeschnipsel liegt - da werde ich weiter testen.

  12. #12
    Contao-Fan Avatar von MrLumbergh
    Registriert seit
    11.01.2012.
    Ort
    Hamburg
    Beiträge
    380

    Fehler Fixed

    [Moin,

    wir haben das selbe oder ein ähnliches Problem abenfalls.

    Hier kann ich mich normalerweise in den Mitgliederbereich einloggen. Das Formular bzw. die Seite wurde nicht verändert in letzter Zeit.
    Wir sind auf Version 4.9.
    Das Request-Token Feld ist leer und wir bekommen den Fehler "Ungültiges Anfrage-Token".

    Wir haben schon diverse JS aus der Seite entfernt, weil ich irgendwo im Forum gelesen habe, dass es da zu Problemen kommen könnte...
    Lustigerweise ist in meinem Firefox immer ein Request-Token im Value enthalten, dann klappt es. Nicht allerdings, wenn ich einen privaten Tab öffne. Das kann auch Cache sein...allerdings wüsste ich gern, wo das Request Token dann her kommt...

    Zumindest kann ich sagen, dass der Fehler erst jetzt auftritt, obwohl das Formular schon jahrelang im Einsatz ist...]

    Ich habe ein ce_download Element im Login-Bereich in Benutzung. Dort hatten wir scheinbar ein altes Template zu angelegt - dieses habe ich gelöscht und nun funktioniert der Login.
    STRANGE!
    Aber es geht - vielleicht hilft Dir das, Diana?
    Geändert von MrLumbergh (19.06.2023 um 10:00 Uhr)

  13. #13
    Community-Moderator
    Wandelndes Contao-Lexikon
    Avatar von Spooky
    Registriert seit
    12.04.2012.
    Ort
    Scotland
    Beiträge
    35.517
    Partner-ID
    10107

    Standard

    https://akn.de/geschaeftskunden-login.html setzt ein Session Cookie, aber kein CSRF Cookie. Dem musst du nachgehen. Das Problem ist nämlich, dass dein nächster POST Request dann ein CSRF Token erfordert, weil du ein Session Cookie hast. Da aber initial Contao keines generiert hat, funktioniert das nicht.

    Das CSRF Token Cookie würde hier gesetzt werden: https://github.com/contao/contao/blo...criber.php#L75

    Du musst nun rausfinden warum CsrfTokenCookieSubscriber::requiresCsrf (vermutlich) false returned, obwohl aber offensichtlich eine Session erzeugt wurde. Ein möglicher Grund könnte sein, dass du in deinem System einen anderen kernel.response Listener hast, der die Session startet - aber nach dem CsrfTokenCookieSubscriber kommt (Priorität geringer als -832).
    » sponsor me via GitHub or PayPal or Revolut

  14. #14
    Contao-Fan Avatar von MrLumbergh
    Registriert seit
    11.01.2012.
    Ort
    Hamburg
    Beiträge
    380

    Standard

    Zitat Zitat von Spooky Beitrag anzeigen
    https://akn.de/geschaeftskunden-login.html setzt ein Session Cookie, aber kein CSRF Cookie. Dem musst du nachgehen. Das Problem ist nämlich, dass dein nächster POST Request dann ein CSRF Token erfordert, weil du ein Session Cookie hast. Da aber initial Contao keines generiert hat, funktioniert das nicht.

    Das CSRF Token Cookie würde hier gesetzt werden: https://github.com/contao/contao/blo...criber.php#L75

    Du musst nun rausfinden warum CsrfTokenCookieSubscriber::requiresCsrf (vermutlich) false returned, obwohl aber offensichtlich eine Session erzeugt wurde. Ein möglicher Grund könnte sein, dass du in deinem System einen anderen kernel.response Listener hast, der die Session startet - aber nach dem CsrfTokenCookieSubscriber kommt (Priorität geringer als -832).
    Danke Dir!
    Aber scheinbar lag es an dem ce_download Element auf der eingelogged-Seite...siehe oben.

  15. #15
    Community-Moderator
    Wandelndes Contao-Lexikon
    Avatar von Spooky
    Registriert seit
    12.04.2012.
    Ort
    Scotland
    Beiträge
    35.517
    Partner-ID
    10107

    Standard

    Damit hat das Problem wahrscheinlich nichts zu tun und das Problem ist auf https://akn.de/geschaeftskunden-login.html immer noch reproduzierbar.
    » sponsor me via GitHub or PayPal or Revolut

  16. #16
    Contao-Fan Avatar von MrLumbergh
    Registriert seit
    11.01.2012.
    Ort
    Hamburg
    Beiträge
    380

    Standard

    Zitat Zitat von Spooky Beitrag anzeigen
    Damit hat das Problem wahrscheinlich nichts zu tun und das Problem ist auf https://akn.de/geschaeftskunden-login.html immer noch reproduzierbar.
    Ja, strange. Im Firefox Privattab geht's. Im Chrome Privattab geht's nicht - außer man geht zurück und versucht es nochmal. Dann geht's...

  17. #17
    Community-Moderator
    Wandelndes Contao-Lexikon
    Avatar von Spooky
    Registriert seit
    12.04.2012.
    Ort
    Scotland
    Beiträge
    35.517
    Partner-ID
    10107

    Standard

    Um es zu reproduzieren musst du einfach nur alle Cookies der Domain löschen, denn die URL öffnen, dann das Formular abschicken. Egal in welchem Browser.
    » sponsor me via GitHub or PayPal or Revolut

  18. #18
    Contao-Fan Avatar von MrLumbergh
    Registriert seit
    11.01.2012.
    Ort
    Hamburg
    Beiträge
    380

    Standard

    Zitat Zitat von Spooky Beitrag anzeigen
    https://akn.de/geschaeftskunden-login.html setzt ein Session Cookie, aber kein CSRF Cookie. Dem musst du nachgehen. Das Problem ist nämlich, dass dein nächster POST Request dann ein CSRF Token erfordert, weil du ein Session Cookie hast. Da aber initial Contao keines generiert hat, funktioniert das nicht.

    Das CSRF Token Cookie würde hier gesetzt werden: https://github.com/contao/contao/blo...criber.php#L75

    Du musst nun rausfinden warum CsrfTokenCookieSubscriber::requiresCsrf (vermutlich) false returned, obwohl aber offensichtlich eine Session erzeugt wurde. Ein möglicher Grund könnte sein, dass du in deinem System einen anderen kernel.response Listener hast, der die Session startet - aber nach dem CsrfTokenCookieSubscriber kommt (Priorität geringer als -832).
    Das ist aber ne gute Frage.
    Wenn man über die Startseite geht, wird der CSRF Token scheinbar gesetzt - denn dann funktioniert der Login. Startseite aufrufen, dann Geschäftskunden Login Seite).
    Dabei nutzen beide Seite das selbe Seitenlayout...

  19. #19
    Community-Moderator
    Wandelndes Contao-Lexikon
    Avatar von Spooky
    Registriert seit
    12.04.2012.
    Ort
    Scotland
    Beiträge
    35.517
    Partner-ID
    10107

    Standard

    Zitat Zitat von MrLumbergh Beitrag anzeigen
    Wenn man über die Startseite geht, wird der CSRF Token scheinbar gesetzt - denn dann funktioniert der Login. Startseite aufrufen, dann Geschäftskunden Login Seite).
    Ja, weil dann schon das Session Cookie vorhanden ist und Contao daher dementsprechend einen CSRF Token erzeugt.


    Zitat Zitat von MrLumbergh Beitrag anzeigen
    Dabei nutzen beide Seite das selbe Seitenlayout...
    Damit hat das nichts zu tun. Siehe https://community.contao.org/de/show...l=1#post573644 - poste z.B. mal die Ausgabe von
    Code:
    debug:event-dispatcher kernel.response
    » sponsor me via GitHub or PayPal or Revolut

  20. #20
    Contao-Fan Avatar von MrLumbergh
    Registriert seit
    11.01.2012.
    Ort
    Hamburg
    Beiträge
    380

    Standard

    Zitat Zitat von Spooky Beitrag anzeigen
    Ja, weil dann schon das Session Cookie vorhanden ist und Contao daher dementsprechend einen CSRF Token erzeugt.


    Damit hat das nichts zu tun. Siehe https://community.contao.org/de/show...l=1#post573644
    Ok. Jetzt raste ich aus.
    Ich habe nun bei den Userrechten der Seite der "Gruppe" alles erlaubt - und habe nun kein Problem mehr damit, mich einzuloggen...

  21. #21
    Community-Moderator
    Wandelndes Contao-Lexikon
    Avatar von Spooky
    Registriert seit
    12.04.2012.
    Ort
    Scotland
    Beiträge
    35.517
    Partner-ID
    10107

    Standard

    Zitat Zitat von MrLumbergh Beitrag anzeigen
    Ich habe nun bei den Userrechten der Seite der "Gruppe" alles erlaubt - und habe nun kein Problem mehr damit, mich einzuloggen...
    Nein, das Problem besteht nach wie vor. Du musst dich an die Reproduktionanleitung halten, um das Problem zu reproduzieren.
    Geändert von Spooky (19.06.2023 um 10:58 Uhr)
    » sponsor me via GitHub or PayPal or Revolut

  22. #22
    Contao-Fan Avatar von MrLumbergh
    Registriert seit
    11.01.2012.
    Ort
    Hamburg
    Beiträge
    380

    Standard

    Zitat Zitat von MrLumbergh Beitrag anzeigen
    Ok. Jetzt raste ich aus.
    Ich habe nun bei den Userrechten der Seite der "Gruppe" alles erlaubt - und habe nun kein Problem mehr damit, mich einzuloggen...
    WTF. Jetzt geht's wieder nicht.

  23. #23
    Community-Moderator
    Wandelndes Contao-Lexikon
    Avatar von Spooky
    Registriert seit
    12.04.2012.
    Ort
    Scotland
    Beiträge
    35.517
    Partner-ID
    10107

    Standard

    Zitat Zitat von MrLumbergh Beitrag anzeigen
    WTF. Jetzt geht's wieder nicht.
    https://community.contao.org/de/show...l=1#post573652
    » sponsor me via GitHub or PayPal or Revolut

  24. #24
    Contao-Fan Avatar von MrLumbergh
    Registriert seit
    11.01.2012.
    Ort
    Hamburg
    Beiträge
    380

    Standard

    Hey Spooky,

    danke für deine Geduld und so.
    Wir haben hier ein Contao, was 2021 von 3.5 auf 4.9 geupdated wurde - wir haben keinen ssh Zugriff. Wir haben keine Anpassungen an kernel oder sowas gemacht. Es ist ein "stinknormales" Contao Projekt.
    Und - ich muss ganz ehrlich sein - "warum CsrfTokenCookieSubscriber::requiresCsrf (vermutlich) false returned," kann ich nicht nachvollziehen.

    Ich habe jetzt nochmal ausführlich getestet:
    Wenn ich die Seite aufrufe, steht "PHPSESSID" unter Cookies. Wenn ich sie RELOADE, steht dort "csrf-https-contao_csrf_token" drin. Nach weiterem Reload wieder "PHPSESSID".
    Was bedeutet, dass ich die Seite aufrufen und reloaden kann, um mich einzuloggen. Das ist doch ein komisches Verhalten...

    Hast Du noch ne Idee, was ich machen könnte? Update auf 4.13? Könnte das helfen?

  25. #25
    Community-Moderator
    Wandelndes Contao-Lexikon
    Avatar von Spooky
    Registriert seit
    12.04.2012.
    Ort
    Scotland
    Beiträge
    35.517
    Partner-ID
    10107

    Standard

    Zitat Zitat von MrLumbergh Beitrag anzeigen
    wir haben keinen ssh Zugriff.
    Dann prüfe es in einer lokalen Kopie.



    Zitat Zitat von MrLumbergh Beitrag anzeigen
    Und - ich muss ganz ehrlich sein - "warum CsrfTokenCookieSubscriber::requiresCsrf (vermutlich) false returned," kann ich nicht nachvollziehen.
    In wie fern?



    Zitat Zitat von MrLumbergh Beitrag anzeigen
    Das ist doch ein komisches Verhalten...
    Siehe https://community.contao.org/de/show...l=1#post573644
    » sponsor me via GitHub or PayPal or Revolut

  26. #26
    Contao-Fan Avatar von MrLumbergh
    Registriert seit
    11.01.2012.
    Ort
    Hamburg
    Beiträge
    380

    Fehler

    Zitat Zitat von Spooky Beitrag anzeigen
    Dann prüfe es in einer lokalen Kopie.



    In wie fern?



    Siehe https://community.contao.org/de/show...l=1#post573644
    Hey Spooky,

    ich denke, wir haben den Fehler gefunden.
    Auf der ersten Seite ist ein Login-Formular eingebunden und auf der darauf folgenden Seite war das selbe Formular eingebunden. Wählt man ein *anderes* Login-Formular (mit anderer Weiterleitungsseite), funktioniert alles!

  27. #27
    Contao-Nutzer
    Registriert seit
    27.05.2014.
    Beiträge
    121

    Standard

    Ich grabe das Thema kurz erneut auf:

    Wir haben von einem Kunden (bisher) öfter mitgeteilt bekommen, dass so eine ähnliche Fehlermeldung kommt, aber nicht immer:

    mspaint_iMEFHsCnKS.png

    Blöd ist nur, dass im Log nichts zu finden ist? Wie kann das sein oder woran könnte das liegen? Stinknormales Kontaktformular, mit anschließender Danke-Seite und mehr nicht. In all unseren eigenen Tests ist der Fehler noch nie aufgetreten, er scheint also sporadisch mal hier und da aufzutauchen. Ohne Hinweise in den Log-Files wird es allerdings schwer...

  28. #28
    Community-Moderator
    Wandelndes Contao-Lexikon
    Avatar von Spooky
    Registriert seit
    12.04.2012.
    Ort
    Scotland
    Beiträge
    35.517
    Partner-ID
    10107

    Standard

    Welche Contao Version?
    » sponsor me via GitHub or PayPal or Revolut

  29. #29
    Contao-Fan
    Registriert seit
    24.02.2021.
    Beiträge
    984
    Contao-Projekt unterstützen

    Support Contao

    Standard

    Zitat Zitat von d33eniz Beitrag anzeigen
    Ich grabe das Thema kurz erneut auf:
    Wir haben von einem Kunden (bisher) öfter mitgeteilt bekommen, dass so eine ähnliche Fehlermeldung kommt, aber nicht immer
    • Aktualisiere mindestens auf Contao 4.13.41 / Contao 5.3.5 , besser sogar 4.13.42 / Contao 5.3.6
    • Wenn du ein angepasstes form_captcha.html5 Template hast, musst du dieses seit Contao 4.13.37 auch aktualisieren

  30. #30
    Contao-Nutzer
    Registriert seit
    27.05.2014.
    Beiträge
    121

    Standard

    Aus Kompatibilitätsgründen noch die 4.9.42 (einige Pluginabhängigkeiten von einem anderen Entwickler). Die form_captcha.html5 haben wir nicht abgeändert.


    Komplett gelogen, es läuft die 4.13.38, ich aktualisiere mal und dann beobachten wir das Ganze nochmal! Danke!

Aktive Benutzer

Aktive Benutzer

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •