Stile speichen = Error > XSRF-Tokens

  • Affected Version
    WoltLab Suite 5.4

    Ich habe mir local ein Forum installiert und immer wenn ich am Stile etwas speichern will erhalte ich einen Fehler:

    Die Gültigkeit der Anfrage konnte aufgrund eines fehlerhaften XSRF-Tokens nicht verifiziert werden. Bitte senden Sie das Formular erneut ab.


    Was kann das sein?


    PS. Drücke ich dann nochmals auf Absenden wird es gespeichert, dann ohne Fehler.

  • Hast du zufällig mehrere Instanzen auf localhost? Das ist ab WSC 5.4 nicht mehr möglich mit WoltLabs aktueller Umsetzung des XSRF-Tokens.

    • Official Post

    Hallo,

    Hast du zufällig mehrere Instanzen auf localhost? Das ist ab WSC 5.4 nicht mehr möglich mit WoltLabs aktueller Umsetzung des XSRF-Tokens.

    mit dieser Formulierung ist deine Aussage falsch. Der Betrieb mehrerer Instanzen auf der gleichen Domain (inkl. localhost) ist möglich. Was nicht möglich ist, ist die Verwendung einer mit dem XSRF-Token geschützten Route, wenn unmittelbar zuvor eine andere Instanz genutzt wurde und daher das XSRF-Token nicht passt.


    Siehe: RE: Zwei Instanzen auf einer Domain/Subdomain führen zu Session-Problemen

  • Was nicht möglich ist, ist die Verwendung einer mit dem XSRF-Token geschützten Route, wenn unmittelbar zuvor eine andere Instanz genutzt wurde und daher das XSRF-Token nicht passt.

    Was zusammengefasst bedeutet, dass es nicht möglich ist zwei WSC 5-4+-Instanzen auf derselben (Sub-)Domain zu nutzen, außer man ist gewillt dauernd Cookies der anderen Instanz zu löschen oder vorher daran zu denken, dass das Probleme machen kann.

  • Ich habe beim Anmelden im ACP (nicht mit Umweg über's Frontend) immer die entsprechende Meldung bekommen und musste das Token-Cookie erst explizit löschen, bevor etwas ging - ohne parallele Aufrufe in einer anderen Instanz; und dann irgendwann einfach den Cookie-Namen vom XSRF-Token abgeändert, seitdem läuft es einwandfrei.

    • Official Post

    Hallo,

    Ich habe beim Anmelden im ACP (nicht mit Umweg über's Frontend) immer die entsprechende Meldung bekommen und musste das Token-Cookie erst explizit löschen, bevor etwas ging

    hast du da möglicherweise mehrere XSRF-Token-Cookies gehabt, die miteinander kollidiert sind? Beispielsweise mit leicht abweichender Domain? Dann ist undefiniert welches der Cookies vom Browser gesendet wird, sinnvoll überschreiben kann der Server das Duplikat aber nicht.


    Grundsätzlich überschreibt der Aufruf des Login-Formulars ein etwaig fehlerhaftes Cookie mit einem gültigen Wert und damit klappt das Absenden des Formulars dann auch.

  • Jaein, es ging damals um die Haupt-Instanz .mysterycode.de und den Sniffer packagesniffer.mysterycode.de. Bei letzterem war es dann extrem nervig.

    Eventuell gab es da mal einen Bug, der inzwischen behoben ist.

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!