Ankündigung

Einklappen
Keine Ankündigung bisher.

Ungülitiges Anfrage Token bei Formularversand.

Einklappen
Dieses Thema ist geschlossen.
X
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • #31
    Hier ein Screenshot aus einem rohen Contao 4.13.38 http://dev413.tim-gatzky.de/test.html

    Egal wie oft ich refresh drücke, der Wert bleibt leer.
    Ich weiss jetzt nicht, ob der Token SSL braucht. Hab ich hier nicht und wenn es benötigt sein sollte, bräuchte es einen Bypass für Formulare, die ohne SSL geschickt werden.


    Klicke auf die Grafik für eine vergrößerte Ansicht  Name: screenshot_1858.jpg Ansichten: 0 Größe: 114,3 KB ID: 28776
    Zuletzt geändert von Tim; 12.03.2024, 12:03.
    http://www.premium-contao-themes.com

    Kommentar


    • #32
      Das habe ich auch schon mal gesehen und mich gewundert - das scheint aber nicht das Problem zu sein. Also das Request_token feld darf leer sein, darauf hat mich spooky aus dem Contao Forum aufmerksam gemacht.

      Bei dieser Instanz hast du aber jetzt auch nicht CustomCatalog installiert, oder?

      Sorry den Text-Ping-Pong, aber ich glaube wir missverstehen uns hier.

      Mein Problem betrifft Seiten mit dem Setup:
      Contao 4.13.38 und die neuste Custom Catalog Erweiterung.
      Ist beides installiert, erhalte ich bei jedem Formular ein Token Fehler beim ersten Aufruf. Da mein Cookie-Consent (logischer Weise) aus einem Formular besteht, können die Nutzer meine Seite nicht aufrufen. Deinstalliere ich Custom Catalog funktioniert die Seite.

      P.S. SORRY - zuvor schrieb ich CustomElements ... das war wahrscheinlich irreführend. Ich meinte die ganze Zeit Custom Catalog.

      Kommentar


      • #33
        Moin Zusammen,

        es mag ja nicht üblich sein, aber wenn ich Das vorschlagen darf, bei einem solch - doch schon komplexeren Problem - könnte Euch eine gemeinsame Videokonferenz möglicherweise schneller zum Ziel führen.
        Evtl. ist das ja eine Option für Euch.

        Grüße
        https://www.webdesign24.biz

        Kommentar


        • #34
          Zitat von kellermann Beitrag anzeigen
          Contao 4.13.38 und die neuste Custom Catalog Erweiterung.
          Hab mich gewundert, warum ich nicht auf jeder PCT-Seite das Problem habe.
          Kann aber auch bestätigen, dass es nur auf Seiten mit installiertem CC auftritt.

          Kommentar


          • #35
            Wenn der RT leer sein darf, warum gibt es das Feld dann überhaupt? CC macht anscheinend den Unterschied, ob Contao einen leeren RT durchwinkt oder nicht. Das kann ich, glaube ich, bestätigen.
            Aber welchen Sicherheitsaspekt hat es, wenn leere RTs erlaubt sind? Das kommt ja quasi der Deaktivierung des gesamten RT-Systems gleich. Von daher finde ich ja fast das Verhalten mit CC korrekt *. Ein leerer oder invalider RT darf nie durchgewunken werden, oder sehe ich das falsch?

            Frage ist, warum wird kein RT gebildet?
            ---
            Sobald man am Backend angemeldet ist, wird z.B. direkt ein RT gebildet. Ab dann funzt das Formular, mit oder ohne CC im System. Also so richtig koscher find ich's nicht.

            Ich lasse jetzt mal alle erdenklichen Methoden zur Ausgabe des RTs im form_wrapper Template ausgeben. Der Wert ist leer, erst nachdem das Contao Formular einmal gesendet wurde (ich habe dafür in den Systemeinstellungen den Token deaktivert) oder man am BE angemeldet ist, wird der Wert valide bei jedem Page-Load generiert.

            * An welcher Stelle CC den Unterschied macht, weiss ich noch nicht. Frage ist eigentlich eher, warum es keinen RT gibt, wenn man ihn verlangt
            Angehängte Dateien
            Zuletzt geändert von Tim; 12.03.2024, 16:01.
            http://www.premium-contao-themes.com

            Kommentar


            • #36
              Zitat von Tim Beitrag anzeigen
              Frage ist, warum wird kein RT gebildet?
              https://community.contao.org/de/show...l=1#post539793 hier spricht spooky davon, dass es von einer vorhandenen Session abhängt, ob ein RT benötigt wird.
              Ich habe auch schon mal gemerkt, dass externe JS-Scrtips, die Cookies setzen wollen (z.B. Consent über einen externen Dienst) zum Token-Abbruch führen können.

              Mich beschäftigt das Token-Thema schon länger, aber ich habe es noch nicht ganz durchblickt, um ehrlich zu sein.

              Kommentar


              • #37
                Zitat von kellermann Beitrag anzeigen

                https://community.contao.org/de/show...l=1#post539793 hier spricht spooky davon, dass es von einer vorhandenen Session abhängt, ob ein RT benötigt wird.
                Ich habe auch schon mal gemerkt, dass externe JS-Scrtips, die Cookies setzen wollen (z.B. Consent über einen externen Dienst) zum Token-Abbruch führen können.

                Mich beschäftigt das Token-Thema schon länger, aber ich habe es noch nicht ganz durchblickt, um ehrlich zu sein.
                Korrekt. Der Token ist quasi Session abhängig. Und im grunde ist es gut, dass nicht grundlos eine Session geöffnet wird, wenn nicht benötigt (dsgvo usw usw).

                Nun haben wir hier aber keinen "grundlosen" Fall, sondern das Formular erwarten strikt den RT vom System. Contao erfragt Ihn im Formular-Aufbau und bekommt ggf. einen leeren Wert.
                https://github.com/contao/contao/blo.../Form.php#L109

                Das ist meines Erachtens ein Fehler: Wenn man den RT im System erfragt (auf welchem Weg auch immer), muss die Session gestartet werden (wenn nicht bereits geschehen), damit in keinem Fall ein leerer Wert zurückgegeben wird. Sämtliche Systeme, die sich auf den RT verlassen, können keinen "unerwertbaren" Wert bekommen.

                Das Durchwinken von leeren Werten kann nicht die Lösung sein.
                http://www.premium-contao-themes.com

                Kommentar


                • #38
                  Ok - soll ich die Fragestellung mal im Slack von Contao Posten? Oder wie gehen wir hier am besten vor?

                  Kommentar


                  • #39
                    Zitat von kellermann Beitrag anzeigen
                    Ok - soll ich die Fragestellung mal im Slack von Contao Posten? Oder wie gehen wir hier am besten vor?
                    Wie gesagt, für mich ist das fehlerhaft seitens des RTs allgemein.

                    Seitens CC ist das schnell gefixt und in der kommenden Version existiert diese Zeile ohnehin nicht mehr.

                    Anbei eine geändert config.php. Ersetzen in /system/modules/pct_customelements_plugin_customcatalog/config

                    kellermann Danke Dir fürs Detail-Testen in CC. Und auch den anderen hier im Thread.

                    Angehängte Dateien
                    Zuletzt geändert von Tim; 13.03.2024, 09:44.
                    http://www.premium-contao-themes.com

                    Kommentar


                    • #40
                      Perfekt - funktioniert! Danke dir.
                      Zuletzt geändert von kellermann; 13.03.2024, 10:07.

                      Kommentar

                      Lädt...
                      X