Hast du zufällig mehrere Instanzen auf localhost? Das ist ab WSC 5.4 nicht mehr möglich mit WoltLabs aktueller Umsetzung des XSRF-Tokens.
Ist deine Instanz auf der aktuellsten Version?
Hallo,
Hast du zufällig mehrere Instanzen auf localhost? Das ist ab WSC 5.4 nicht mehr möglich mit WoltLabs aktueller Umsetzung des XSRF-Tokens.
mit dieser Formulierung ist deine Aussage falsch. Der Betrieb mehrerer Instanzen auf der gleichen Domain (inkl. localhost) ist möglich. Was nicht möglich ist, ist die Verwendung einer mit dem XSRF-Token geschützten Route, wenn unmittelbar zuvor eine andere Instanz genutzt wurde und daher das XSRF-Token nicht passt.
Siehe: RE: Zwei Instanzen auf einer Domain/Subdomain führen zu Session-Problemen
Was nicht möglich ist, ist die Verwendung einer mit dem XSRF-Token geschützten Route, wenn unmittelbar zuvor eine andere Instanz genutzt wurde und daher das XSRF-Token nicht passt.
Was zusammengefasst bedeutet, dass es nicht möglich ist zwei WSC 5-4+-Instanzen auf derselben (Sub-)Domain zu nutzen, außer man ist gewillt dauernd Cookies der anderen Instanz zu löschen oder vorher daran zu denken, dass das Probleme machen kann.
Hallo,
du musst überhaupt keine Cookies manuell zu löschen. Du darfst lediglich nicht beide Instanzen gleichzeitig benutzen – und das ist nun wirklich keine praxisrelevante Einschränkung.
Ich habe beim Anmelden im ACP (nicht mit Umweg über's Frontend) immer die entsprechende Meldung bekommen und musste das Token-Cookie erst explizit löschen, bevor etwas ging - ohne parallele Aufrufe in einer anderen Instanz; und dann irgendwann einfach den Cookie-Namen vom XSRF-Token abgeändert, seitdem läuft es einwandfrei.
Hallo,
Ich habe beim Anmelden im ACP (nicht mit Umweg über's Frontend) immer die entsprechende Meldung bekommen und musste das Token-Cookie erst explizit löschen, bevor etwas ging
hast du da möglicherweise mehrere XSRF-Token-Cookies gehabt, die miteinander kollidiert sind? Beispielsweise mit leicht abweichender Domain? Dann ist undefiniert welches der Cookies vom Browser gesendet wird, sinnvoll überschreiben kann der Server das Duplikat aber nicht.
Grundsätzlich überschreibt der Aufruf des Login-Formulars ein etwaig fehlerhaftes Cookie mit einem gültigen Wert und damit klappt das Absenden des Formulars dann auch.
Jaein, es ging damals um die Haupt-Instanz .mysterycode.de und den Sniffer packagesniffer.mysterycode.de. Bei letzterem war es dann extrem nervig.
Eventuell gab es da mal einen Bug, der inzwischen behoben ist.
Don’t have an account yet? Register yourself now and be a part of our community!
