Ankündigung

Einklappen
Keine Ankündigung bisher.

Ungülitiges Anfrage Token bei Formularversand.

Einklappen
Dieses Thema ist geschlossen.
X
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Ungülitiges Anfrage Token bei Formularversand.

    Wir haben einige Installation auf C 4.13.37 geupdated, ich weiß es gibt offiziell noch keine Eclipse Freigabe, aber nach den tausenden Spam Mails über die Formulare, war es dringend nötig.

    Bei einigen Installationen erhalten wir nach dem Absenden von Formularen eine Fehlermeldung "ungültiges Anfrage Token". Wir haben es auch mal im Support Slack platziert.

    Aktuell hat diese Lösung geholfen:

    Ändere zum Test die Zeile https://github.com/contao/contao/blo...nager.php#L102
    mal auf
    && !($request->hasSession() && $request->getSession()->isStarted() && !$request->getSession()->isEmpty());
    Als Ursache wird gerade vermutet, dass die Cookie Consent Lösung von Eclipse das Ganze auslösen könnte.

    Kann das jemand reproduzieren bzw debuggen?


  • #2
    Als Ursache wird gerade vermutet, dass die Cookie Consent Lösung von Eclipse das Ganze auslösen könnte.
    Dann würde ja keines der Kontakt-Formular im Theme funktionieren . Wie kommt Ihr darauf bzw. wo kommt die Vermutung her?
    Der PM baut zwar auch ein Formular auf, nutzt aber den normalen Request token, der über das Inserttag generiert wird. Ich hatte damit noch nie Probleme.

    Du schreibst "bei einigen". Sprich, auch hier zeichnet sich kein klares Bild ab. Wo ist der Unterschied in den Installationen selbst?

    In wie fern löst das Contao Update die Spam-Flut?
    http://www.premium-contao-themes.com

    Kommentar


    • #3
      Wir konnten noch keine Regelmäßigkeit erkennen. fritzmg hatte das in Slack geäußert,
      Laut den Responses ist es eben eure Consent Lösung
      .

      Allerdings konnten wir es zwischenzeitlich auch in einer plain Contao Installation nachstellen. Insofern zweifle ich an dem Zusammenhang.

      Hinsichtlich Spam Flut:

      https://github.com/contao/contao/pull/6870

      Kommentar


      • #4
        Zitat von Tim Beitrag anzeigen

        Du schreibst "bei einigen". Sprich, auch hier zeichnet sich kein klares Bild ab. Wo ist der Unterschied in den Installationen selbst?
        Konnte bisher bei allen Contao 4.13.37 & Eclipse 4.3.4 Installationen nachgestellt werden, wenn man die Seite mit frischem Browser oder nach Cookie-Löschung aufgerufen hat. Fritz meinte noch: "Irgendwas in eurem Code startet die Session nämlich, deswegen kommt es zu diesem Fehler".

        Kommentar


        • #5
          Danke für die Captcha Info.

          Seitens des Tokens ist halt wichtig, dass man nicht unmittelbar ein Formular absendet, wenn man vorher im Backend angemeldet war - ohne die Formularseite refreshed zu haben. Contao generiert unterschiedliche Tokens in Abhängigkeit der Session-Zustände (an/abgemeldet backend, an/abgemeldet frontend usw.).
          http://www.premium-contao-themes.com

          Kommentar


          • #6
            Moin,

            der Fehler ist bei mir gestern und heute morgen auch passiert. Ich habe eine Subdomain bei der alles korrekt lief auf die Hauptdomain geschaltet. Und dann kam der Fehler ständig. Allerdings nicht beim Formularversand sondern bei Auswahl eines Filters in einem CC mit 4.13.37 + neueste EX-Version.

            Das kann ich jetzt auch reproduzieren. Wenn man nach Bestätigung des PMs gleich auf eine Seite mit Filtern geht und einen Filter auswählt, knallt es im Karton (siehe Anhang).

            Zuerst lief die Seite heute morgen korrekt. Das trat dann erst auf als ich den Browser-Cache gelöscht habe, der PM neu kommt und ich dann auf einer Listenseite einen Filter auswähle.

            Angehängte Dateien

            Kommentar


            • #7
              Nachtrag: Downgrade auf 4.13.36 gemacht und jetzt scheint es korrekt zu laufen ...

              Kommentar


              • #8
                Hallo, auch ich habe dasselbe Problem festgestellt im Zusammenhang mit dem Formularversand.
                Das bedeutet nur ein Downgrade löst momentan das Problem, mit der Gefahr des Spam-Missbrauchs des Formulars?
                Habe ein paar Seiten mit Contao 4.13.37 ohne PCT laufen, da tritt das Problem nicht auf...

                Problem wird auch hier besprochen:
                https://community.contao.org/de/show...629#post581629
                Evtl. doch eine Contao-Sache, wie könnte man das reproduzieren?
                Das Donwgrade auf 4.13.36 behebt zumindest das Problem.
                Zuletzt geändert von office@narosy.at; 29.02.2024, 12:52.

                Kommentar


                • #9
                  Mein Kunde hat mich soeben angerufen, dass er wieder Spam-Mails erhält.
                  Nun stehe ich vor dem Problem: mit 4.13.36 geht das Formular, aber es lässt Spam durch.
                  Mit 4.13.37 habe ich keine Spams mehr, dafür ein (meist) nicht funktionierendes Formular.
                  Aktuell gehts mit dem Firefox, aber nicht mit Edge oder Chrome.
                  https://www.eku.at/beratung-montage-...e/kontakt.html
                  Ich könnte versuchen das Anfrage-Token in den Einstellungen zu deaktivieren, das wird aber nicht empfohlen.
                  Was also tun?

                  Kommentar


                  • #10
                    Schon ein bissel komisch, dass das über Jahre hinweg kein Problem war und plötzlich innerhalb einer Bugfix-Version auftritt . Der PM nutzt wie gesagt das Standard {{request_token}} Inserttag in seinem Formular. Ich hänge mal ein geändertes mod_privacy_default Template hier an, wo der Request Token nicht über das Inserttag kommt.

                    Meines Erachtens kommt der Token falsch vom Inserttag zurück, wenn die direkte Methode funzt.



                    Angehängte Dateien
                    Zuletzt geändert von Tim; 01.03.2024, 08:09.
                    http://www.premium-contao-themes.com

                    Kommentar


                    • #11
                      Danke, probiere ich gleich aus.

                      Kommentar


                      • #12
                        Also, ich habe das Template ergänzt und den Anwendungs-Cache neu aufgebaut.
                        Leider keine Verbesserung.

                        Kommentar


                        • #13
                          Im Template war ein Wechselstabenverbuchtelt. Ich habe es oben noch einmal geupdated.
                          Ich wüsste aber nicht warum Contao das Formular aus dem PM überhaupt registrieren sollte. Es nutzt einen vollkommen anderen Namen als Formulare aus dem Form.-Gen und wird auch nicht vom Browser submittet.

                          Was gern übersehen wird ist das Login-Formular oben im Offcanvas Bereich. Das hat auch einen Request Token.

                          Es wäre sehr hilfreich, wenn Contao mitteilen würde welcher Request Token bzw. welches Formular knallt.
                          Zuletzt geändert von Tim; 01.03.2024, 08:13.
                          http://www.premium-contao-themes.com

                          Kommentar


                          • #14
                            Vielen Dank für die Unterstützung, jetzt dürfte es wieder funktionieren :-)
                            Ich vermittle gerne, weiß aber nicht genau, wie ich diesen Request verfassen sollte.
                            Meine Kenntnisse diesbezüglich sind zugegebenermaßen endend wollend...

                            Kommentar


                            • #15
                              Zitat von office@narosy.at Beitrag anzeigen
                              Vielen Dank für die Unterstützung, jetzt dürfte es wieder funktionieren :-)
                              Ich vermittle gerne, weiß aber nicht genau, wie ich diesen Request verfassen sollte.
                              Meine Kenntnisse diesbezüglich sind zugegebenermaßen endend wollend...
                              Der {{request_token}} Inserttag scheint das Problem zu sein. Ab Contao 5 gibt es den ohnehin nicht mehr - sprich. die kommenden Templates nutzen den schon nicht mehr - aber wir reden hier ja von einer 4.13 LTS. Dort muss der Inserttag weiterhin Gültigkeit haben. Und, wie gesagt, warum sollte Contao das PM-Formular überhaupt prüfen, wenn es nicht aktiv submittet wurde vom Browser. Das würde ja eine Art Blind-Schuss auf alle Formulare mit dem Kürzel FORM_SUBMIT bedeuten, aber dafür müsste ich jetzt noch den Contao Kern prüfen...
                              Zuletzt geändert von Tim; 01.03.2024, 08:42.
                              http://www.premium-contao-themes.com

                              Kommentar

                              Lädt...
                              X