ja sicher doch
Fehler: Cross-Site Request Forgery (CSRF) - DoubleSubmitCookieTokenValidator() failed
Moderator: mirko
Re: Fehler: Cross-Site Request Forgery (CSRF) - DoubleSubmitCookieTokenValidator() failed
>das funktioniert aber nur in neueren Browsern und auch nur wenn man 1x auf Zurück/Vorwärts klickt, im Firefox nur über den Button nicht über das Kontextmenü
Prima, funktioniert. Genau so hab ich mir das vorgestellt. Übernimmst Du das in der nächsten Release?
Prima, funktioniert. Genau so hab ich mir das vorgestellt. Übernimmst Du das in der nächsten Release?
Re: Fehler: Cross-Site Request Forgery (CSRF) - DoubleSubmitCookieTokenValidator() failed
im Verzeichnis templates/default/de die Datei main.htm ändern
nach
Code: Alles auswählen
document.getElementsByTagName('body')[0].insertAdjacentHTML('beforeend', '<iframe src="./keepalive.php?caller=' + location.href + '" width="1" height="1" frameborder="0"></iframe>');
Code: Alles auswählen
window.onpopstate = function() {
MessageBox('Information', 'Nutzen Sie nur die Menü-Elemente und Links zur Navigation in der Oberfläche, nicht die Vor-/Zurück-Schaltfläche des Browsers.', 0, 320, 120, '');
}; history.pushState({}, '');
Re: Fehler: Cross-Site Request Forgery (CSRF) - DoubleSubmitCookieTokenValidator() failed
Hallo Mirko,
okay, das hat gekklappt, Danke
Dabei habe ich dann auch gerade festgestellt, dass meine Einstellung dies alles beim Schließen des Browsers zu löschen, nicht funktioniert.
Darum ging ich immer davon aus, dass schon alles geleert ist. Googel-Sammelwut-Fehler
Jetzt bin ich schlauer - Danke
Grüße,
Sikue
okay, das hat gekklappt, Danke
Dabei habe ich dann auch gerade festgestellt, dass meine Einstellung dies alles beim Schließen des Browsers zu löschen, nicht funktioniert.
Darum ging ich immer davon aus, dass schon alles geleert ist. Googel-Sammelwut-Fehler
Jetzt bin ich schlauer - Danke
Grüße,
Sikue
Re: Fehler: Cross-Site Request Forgery (CSRF) - DoubleSubmitCookieTokenValidator() failed
Browsercache leeren, nur das hilft, damit die alten Scripte vergessen werden.
Re: Fehler: Cross-Site Request Forgery (CSRF) - DoubleSubmitCookieTokenValidator() failed
Hallo,
ich habe versucht Euch hier im Forum zu folgen, kann aber nicht wirklich erkennen, was ich tun kann - außer den SuperWebMailer nur noch mit dem Firefox zu öffnen...
Im Chrome lässt sich nur noch die Startseite öffnen, ab dann funktioniert kein einziger Klick mehr. Kann ich bestimmte Files löschen oder editieren, damit es auch mit dem Chrome wieder geht?
Danke schön
Sikue
ich habe versucht Euch hier im Forum zu folgen, kann aber nicht wirklich erkennen, was ich tun kann - außer den SuperWebMailer nur noch mit dem Firefox zu öffnen...
Im Chrome lässt sich nur noch die Startseite öffnen, ab dann funktioniert kein einziger Klick mehr. Kann ich bestimmte Files löschen oder editieren, damit es auch mit dem Chrome wieder geht?
Danke schön
Sikue
Re: Fehler: Cross-Site Request Forgery (CSRF) - DoubleSubmitCookieTokenValidator() failed
>Der Zurück-Button im Browser ist komplett verboten, das durfte man vorher schon nicht, leider kann ich diesen nicht deaktivieren.
Es gibt Javascript, dass beim Klick auf den Zurückbutton eine Warnung ausgibt. Das wäre dann hier wohl angebracht...
>Im Bildupload-Dialog darf das auch nicht kommen, das ist immer ein HTTP POST und wird das Token vom CKEditor verwendet.
Habs selber 2-3x erlebt, habe aber noch keinen Trick, wie man es reproduzieren kann. M.E. trat es beim Wechsel / Schließen des Filemanager auf.
>Wichtig ist halt es müssen immer Cookies vom Browser akzeptiert werden und alle Aufrufe müssen HTTP POST-Aufrufe sein.
Ist der Fall.
>Wenn es gar nicht anders geht, kann ich nur den CSRF-Schutz deaktivierbar machen, ein geschickter Angreifer kann aber dann die Session stehlen und Daten abgreifen.
Gute Idee. Dann liegt die Entscheidung zumindest in der Hand des Seitenbetreibers.
Es gibt Javascript, dass beim Klick auf den Zurückbutton eine Warnung ausgibt. Das wäre dann hier wohl angebracht...
>Im Bildupload-Dialog darf das auch nicht kommen, das ist immer ein HTTP POST und wird das Token vom CKEditor verwendet.
Habs selber 2-3x erlebt, habe aber noch keinen Trick, wie man es reproduzieren kann. M.E. trat es beim Wechsel / Schließen des Filemanager auf.
>Wichtig ist halt es müssen immer Cookies vom Browser akzeptiert werden und alle Aufrufe müssen HTTP POST-Aufrufe sein.
Ist der Fall.
>Wenn es gar nicht anders geht, kann ich nur den CSRF-Schutz deaktivierbar machen, ein geschickter Angreifer kann aber dann die Session stehlen und Daten abgreifen.
Gute Idee. Dann liegt die Entscheidung zumindest in der Hand des Seitenbetreibers.
Re: Fehler: Cross-Site Request Forgery (CSRF) - DoubleSubmitCookieTokenValidator() failed
Der Zurück-Button im Browser ist komplett verboten, das durfte man vorher schon nicht, leider kann ich diesen nicht deaktivieren. Geht man rückwärts müsste der Browser sagen, Formular erneut übermitteln und dann gibt es den CSRF-Fehler, weil der Browser meistens einen HTTP GET-Aufruf ausführt, das ist wegen des CSRF-Tokens nicht erlaubt.
Im Bildupload-Dialog darf das auch nicht kommen, das ist immer ein HTTP POST und wird das Token vom CKEditor verwendet.
Wichtig ist halt es müssen immer Cookies vom Browser akzeptiert werden und alle Aufrufe müssen HTTP POST-Aufrufe sein. Alle SuperWebMailer internen HTTP GET-Aufrufe werden per JavaScript als POST-Aufrufe ausgeführt.
Wenn es gar nicht anders geht, kann ich nur den CSRF-Schutz deaktivierbar machen, ein geschickter Angreifer kann aber dann die Session stehlen und Daten abgreifen.
Im Bildupload-Dialog darf das auch nicht kommen, das ist immer ein HTTP POST und wird das Token vom CKEditor verwendet.
Wichtig ist halt es müssen immer Cookies vom Browser akzeptiert werden und alle Aufrufe müssen HTTP POST-Aufrufe sein. Alle SuperWebMailer internen HTTP GET-Aufrufe werden per JavaScript als POST-Aufrufe ausgeführt.
Wenn es gar nicht anders geht, kann ich nur den CSRF-Schutz deaktivierbar machen, ein geschickter Angreifer kann aber dann die Session stehlen und Daten abgreifen.
Re: Fehler: Cross-Site Request Forgery (CSRF) - DoubleSubmitCookieTokenValidator() failed
Die Meldung "Fehler: Cross-Site Request Forgery (CSRF) - DoubleSubmitCookieTokenValidator() failed" kommt trotzt aktueller Version und gelöschtem Cache immer mal wieder und nervt so die User. Miterlebt habe ich es z.B. im CKEditor beim Bilduploaddialog sowie wenn die User den "Zurück" Button im Browser nutzen (bekommt man denen nicht abgewöhnt).
Re: Fehler: Cross-Site Request Forgery (CSRF) - DoubleSubmitCookieTokenValidator() failed
Vielen Dank, funktioniert jetzt wieder richtig.
Gruß Bavra
Gruß Bavra
Re: Fehler: Cross-Site Request Forgery (CSRF) - DoubleSubmitCookieTokenValidator() failed
Du hast recht, ist ein Fehler. Ich habe eine Länge fest codiert, da der eingeschränkte Nutzer bei dir aber so eine hohe ID > 9 hat, stimmt der Vergleich nicht mehr und der Zugriff wird verweigert. Nochmals das Update laden und nur die beiden Dateien csrf.inc.php und templates.inc.php auf den Server übertragen.
Re: Fehler: Cross-Site Request Forgery (CSRF) - DoubleSubmitCookieTokenValidator() failed
ja schick mal, ich will den Quelltext sehen
Re: Fehler: Cross-Site Request Forgery (CSRF) - DoubleSubmitCookieTokenValidator() failed
Hallo Mirko,
erst einmal vielen Dank für Deine Rückmeldung.
Also ich habe das mit dem Browser-Cache leeren in verschiedenen Browsern probiert. Habe jetzt noch mal eine Testumgebung für das Problem aufgesetzt, aber auch da habe ich weiterhin das Problem:
"Fehler: Cross-Site Request Forgery (CSRF) - DoubleSubmitCookieTokenValidator() failed"
Dass ich mich nicht mehr 2 mal gleichzeitig mit dem gleichen Browser an SWM anmelden kann, habe ich auch beachtet.
Ich habe auf unserer Textumgebung einen Testaccount eingerichtet, den würde ich Dir gleich mal als PM schicken. Ich hoffe, Du hast da nichts gegen.
Dann kommen wir vielleicht schneller um Ziel.
Anbei noch einen Screenshot von den Benutzerrechten des Testaccounts. Wie schon unten erwähnt, können sich die Admins normal ans Backendanmelden. Bekommen beim ersten Anmelden nach dem Update auf 7.0 auch diese Fehlermeldung, aber da brauchte ich tatsächlich nur Browser-Cache und Co leeren und der Fehler war weg.
Gruß Bavra
erst einmal vielen Dank für Deine Rückmeldung.
Also ich habe das mit dem Browser-Cache leeren in verschiedenen Browsern probiert. Habe jetzt noch mal eine Testumgebung für das Problem aufgesetzt, aber auch da habe ich weiterhin das Problem:
"Fehler: Cross-Site Request Forgery (CSRF) - DoubleSubmitCookieTokenValidator() failed"
Dass ich mich nicht mehr 2 mal gleichzeitig mit dem gleichen Browser an SWM anmelden kann, habe ich auch beachtet.
Ich habe auf unserer Textumgebung einen Testaccount eingerichtet, den würde ich Dir gleich mal als PM schicken. Ich hoffe, Du hast da nichts gegen.
Dann kommen wir vielleicht schneller um Ziel.
Anbei noch einen Screenshot von den Benutzerrechten des Testaccounts. Wie schon unten erwähnt, können sich die Admins normal ans Backendanmelden. Bekommen beim ersten Anmelden nach dem Update auf 7.0 auch diese Fehlermeldung, aber da brauchte ich tatsächlich nur Browser-Cache und Co leeren und der Fehler war weg.
Gruß Bavra
Re: Fehler: Cross-Site Request Forgery (CSRF) - DoubleSubmitCookieTokenValidator() failed
Das wird ein Cache-Problem sein, genauso Browser-Cache löschen und nochmals probieren. Ich habe es gerade getestet, geht einwandfrei. Wenn das nicht gehen würde, dann würde die Demo unter https://newsletter-software-php-script. ... mailer.de/ auch nicht funktionieren, das ist ein eingeschränkter Nutzer.
Nachtrag zu diesem Fehler: Es ist ab dieser Version nicht mehr möglich sich doppelt bei SuperWebMailer mit unterschiedlichen Nutzern im gleichen Browser auf unterschiedlichen Tabs anzumelden. Das geht nur noch mit unterschiedlichen Browsern.
Nachtrag zu diesem Fehler: Es ist ab dieser Version nicht mehr möglich sich doppelt bei SuperWebMailer mit unterschiedlichen Nutzern im gleichen Browser auf unterschiedlichen Tabs anzumelden. Das geht nur noch mit unterschiedlichen Browsern.
Fehler: Cross-Site Request Forgery (CSRF) - DoubleSubmitCookieTokenValidator() failed
Hi,
also ich habe heute den SuperWebMailer von der aktuellsten 6 er Version auf die neue Version 7.00.0.01440 geupdatet.
Beim Anmelden mit meinem Adminzugang bekam ich folgende Fehlermeldung:
"Es ist ein Fehler aufgetreten
Fehler: Cross-Site Request Forgery (CSRF) - DoubleSubmitCookieTokenValidator() failed"
Nachdem ich den Cache meines Browsers komplett geleert hatte, konnte ich mich wieder normal anmelden.
Allerdings funktioniert das nicht mit einem normalen user. Wenn ich bei diesem auch den Browsercache geleert habe, kann ich mich immer noch nicht ans Backend anmelden. Immer noch der oben genannte Fehler.
Was kann ich nun tun?
Gruß Bavra
also ich habe heute den SuperWebMailer von der aktuellsten 6 er Version auf die neue Version 7.00.0.01440 geupdatet.
Beim Anmelden mit meinem Adminzugang bekam ich folgende Fehlermeldung:
"Es ist ein Fehler aufgetreten
Fehler: Cross-Site Request Forgery (CSRF) - DoubleSubmitCookieTokenValidator() failed"
Nachdem ich den Cache meines Browsers komplett geleert hatte, konnte ich mich wieder normal anmelden.
Allerdings funktioniert das nicht mit einem normalen user. Wenn ich bei diesem auch den Browsercache geleert habe, kann ich mich immer noch nicht ans Backend anmelden. Immer noch der oben genannte Fehler.
Was kann ich nun tun?
Gruß Bavra