schreiberflorianschreiberflorian MemberComments: 15 Received thanks: 0 Member since: August 2016

Hallo,

ich bin neu hier (und unerfahren...Foot-in-Mouth) und hätte eine Frage.....

Das bekannte Problem CSRF (bei mir ist es die Auswahl der Zahlungsarten)... Tritt dies nur in der Community Edition oder auch in der Professional Edition auf.

Wie kann man diesen Fehler eleminieren ohne dass man die conifg anpasst?

Danke

1 Answer

  • Chris_tianChris_tian MemberComments: 392 Received thanks: 27 Member since: March 2015

    Von Shopware habe ich nach langem hin und her folgende Rückmeldung erhalten:

    wir werden mit einer der nächsten Shopware Versionen eine Verbesserung des Tokenhandlings im Shopware Core veröffentlichen. Wann dies genau und mit welcher Version dies sein wird, können wir leider noch nicht einschätzen.

    Das Tokenhandling der Plugins ist halt abhängig vom Core. Daher kann das Plugin-Update vom PP+ Modul leider auch nur bedingt helfen.

    Wir empfehle bis zum Release der Shopware-Version mit dem verbesserten Tokenhandling das PP+ Plugin zu deaktivieren. Alternativ können Sie das Tokenhandling von Shopware auch ober die config.php deaktivieren. Ersetzen Sie einfach die letzte Zeile

    );

    durch

    'csrfProtection' => [
        'frontend' => false,
        'backend' => true
    ],);

    Letzteres hat zur Folge, dass PP+ wieder funktionieren wird, die Token-Protection für das Frontend allerdings komplett deaktiviert ist. Letzteres sollten sie auf jeden Fall nach Update auf die Shopware-Version, welche die oben aufgezeigte Verbesserung enthält, rückgängig machen.

    "...einer der nächsten Versionen..." hört sich für mich nicht gerade zeitnah an. 

    Quote
    Accepted Answer
    Thanked by 1natelo
  • Accepted Answer

Answers

  • ShopwareianerShopwareianer MemberComments: 3629 Received thanks: 644 edited August 2016 Member since: November 2013

    Welches bekannte Problem?

    In der Regel unterscheidet sich die CE im Core nicht von der PE.

    Funktioniert es denn testweise, wenn du die CSRF Protection auf false in deiner config.php setzt? 

    'csrfProtection' => [
            'frontend' => false,
        ],

     

  • SynonymousSynonymous MemberComments: 453 Received thanks: 75 Member since: July 2016

    Vermutlich ein JS Problem...?! Schau mal ob im POST der CSRF Token übertragen wird.

    Nach dem Test CSRF Protection jedenfalls wieder aktivieren - https://synonymous.rocks/was-ist-cross-site-request-forgery-csrf/

  • SebastianKlöpperSebastianKlöpper AdministratorsComments: 7197 Received thanks: 1683 Member since: June 2010

    Hallo,

    welche Shopware Version nutzt du denn? Im letzten Update gab es noch eine Korrektur an der Stelle.

    Sebastian

  • schreiberflorianschreiberflorian MemberComments: 15 Received thanks: 0 edited August 2016 Member since: August 2016

    Hallo,

    welche Shopware Version nutzt du denn? Im letzten Update gab es noch eine Korrektur an der Stelle.

    Sebastian

     

    Hallo Sebastian,

    benutze die Aktuellste: 5.2.5

  • schreiberflorianschreiberflorian MemberComments: 15 Received thanks: 0 Member since: August 2016

    Hallo, 

    mit der Anpassung der config.php auf "false" habe ich es schon getestet. Da funktioniert´s. 

    Sollte man die CSRF - Protection nicht aktiviert lassen?

  • schreiberflorianschreiberflorian MemberComments: 15 Received thanks: 0 edited August 2016 Member since: August 2016

    Vermutlich ein JS Problem...?! Schau mal ob im POST der CSRF Token übertragen wird.

    Nach dem Test CSRF Protection jedenfalls wieder aktivieren - https://synonymous.rocks/was-ist-cross-site-request-forgery-csrf/

  • schreiberflorianschreiberflorian MemberComments: 15 Received thanks: 0 edited August 2016 Member since: August 2016
    @schreiberflorian schrieb: Hallo, was ist ein JS Problem...

    Vermutlich ein JS Problem...?! Schau mal ob im POST der CSRF Token übertragen wird.

    Nach dem Test CSRF Protection jedenfalls wieder aktivieren - https://synonymous.rocks/was-ist-cross-site-request-forgery-csrf/

     

  • schreiberflorianschreiberflorian MemberComments: 15 Received thanks: 0 Member since: August 2016

    Benutze die Version 5.2.5

  • herzbrilleherzbrille MemberComments: 17 Received thanks: 0 Member since: March 2016

    Ich bekomme hier mit 5.2.5 auch bei jeder Bestellung eine Fehler-Mail wegen dem CSRF Token, trotz Standard-Theme und kompatiblen Plugins. Hab aus Frust und um Bestell-Abbrüche zu verhindern CSRF jetzt dauerhaft deaktiviert.

  • SynonymousSynonymous MemberComments: 453 Received thanks: 75 Member since: July 2016

    CSRF zu deaktivieren ist eine GANZ SCHLECHTE Idee... ungefähr so als würdest Du bei Deinem Auto den Airbag und das ABS ausbauen, nur weil eine Warnleuchte angeht.

    Bitte prüft, ob es beim POST eine JS (Javascript) Exception gibt. Der CSRF Token wird über eine Javascript-Library erzeugt und wenn es davor eine JS Exception gibt (evtl. durch ein anderes Plugin), kann der Token nicht mehr erzeugt und in den Post zum Server gepackt werden. Der reagiert dann darauf mit einer CSRF Exception weil der Aufruf nicht korrekt signiert ist.

  • schreiberflorianschreiberflorian MemberComments: 15 Received thanks: 0 Member since: August 2016

    Leider bin ich auf diesem Gebiet noch ziemlich unerfahren. Könntest du mir bitte das näher beschreiben. Wo und wie ich hier nachschauen kann?!Foot-in-Mouth

  • SynonymousSynonymous MemberComments: 453 Received thanks: 75 Member since: July 2016

    Wenn Du den Inspector geöffnet hast siehst Du unter "Console" mögliche JS Exceptions. Dort würde ich mal als erstes nachsehen...

  • schreiberflorianschreiberflorian MemberComments: 15 Received thanks: 0 Member since: August 2016

    Meintest du dies?

    image

  • GoetheGoethe MemberComments: 42 Received thanks: 0 Member since: September 2015

    Den gleichen Fehler erhalten wir auch.. Sehr frustrierend.. 

  • SebastianKlöpperSebastianKlöpper AdministratorsComments: 7197 Received thanks: 1683 Member since: June 2010

    Hi,

    habt ihr euch mit den installierten Plugin näher auseinandergesetzt? Also z.B. temporär deaktiviert?
    Es gibt aktuell noch ein offenes Ticket bzgl. PayPal Plus und dem Token beim Wechsel der Zahlungsart. Tritt aber auch wohl nur in gewissen Konstellationen auf.

    Habt ihr Plugins für Zahlungsarten im Einsatz und könnt diese mal deaktivieren?

    Sebastian

  • shop2013shop2013 MemberComments: 18 Received thanks: 1 Member since: May 2013

    Hallo,

    bei uns tritt der Fehler nicht auf sobald das PayPal + Plugin deinstalliert ist. Hinweis kam vom Shopware Support. Vielen Dank an Shopware!!

    Lt. Shopware ist ein Update des Plugins zur Freigabe bei PayPal eingereicht.

    LG

     

  • shop2013shop2013 MemberComments: 18 Received thanks: 1 Member since: May 2013

    Hallo,

    bei uns tritt der Fehler nicht auf sobald das PayPal + Plugin deinstalliert ist. Hinweis kam vom Shopware Support. Vielen Dank an Shopware!!

    Lt. Shopware ist ein Update des Plugins zur Freigabe bei PayPal eingereicht.

    LG

     

    Ansonsten haben wir nur das PayPal und Billsafe Plugin im Einsatz (Zahlungsarten). 

     

  • happyhappy MemberComments: 20 Received thanks: 0 edited October 2016 Member since: October 2016

    Shopware\Components\CSRFTokenValidationException: The provided X-CSRF-Token is invalid.
    Ups Fehler ist aufgetreten.   Es nervt !!!  Tritt auf wenn Zahlungsanbieter Zahlungsweise oder Versandanbieter bzw. Versandart gewechselt wird, nach dem der Warenkorb aufgerufen wurde. Noch bevor es zu Schritt 3 geht also die AGB's bestätigt werden können kommt der Fehler.

    Ursache ist das PayPAL PLUS Plug In. Nach Deaktivierung tritt Fehler nicht mehr auf. Installiert ist Pay Pal, Pay Pal Ratenzahlung, Sofortüberweisung das läuft.
    Shopware 5.2.9 aktuellstes Update, PHP 7, PayPal Plus Version 1.2.0

    Alternative Stripe soll sogar günstiger sein und läuft!

    Der Fehler wird auch auf folgenden Seiten gefunden:
    https://forum.shopware.com/discussion/39864/csrf-token-feher-bei-auswahl-der-zahlungsarten

    https://synonymous.rocks/shopware-5-2-csrf-token-is-invalid/

    https://forum.shopware.com/discussion/38877/neuinstallation-auf-5-2-1-x-csrf-token-is-invalid

    https://forum.shopware.com/discussion/41184/custom-products-v2-problem-mit-csrf-validation

    https://forum.shopware.com/discussion/41201/checkout-invalid-token-exception#latest

     

  • Moritz NaczenskiMoritz Naczenski AdministratorsComments: 9292 Received thanks: 2781 edited October 2016 Member since: September 2013

    Einmal posten reicht, daher habe ich die Kommentare entfernt aus den anderen Threads entfernt.

  • hayalhayal MemberComments: 13 Received thanks: 3 Member since: August 2016

    PayPal Plus abschalten, wenn es nicht hilft CSRF deaktivieren so wie es oben beschrieben ist. Shopware Support hat das sogar uns als Lösung zugesendet.

  • coarsycoarsy MemberComments: 484 Received thanks: 38 Member since: January 2015

    Hmm, gibts dann auch ein Update für PayPal Plus?

  • Chris_tianChris_tian MemberComments: 392 Received thanks: 27 Member since: March 2015

    Gibt es hierzu schon etwas neues? Wurde der Fehler behoben?

  • LiversonLiverson MemberComments: 81 Received thanks: 13 Member since: March 2013

    Haben das gleiche Problem, sobald PayPal Plus installiert ist, kommt die Fehlermeldung "The provided X-CSRF-Token is invalid ...." beim Wechsel der Zahlungsweise.

    Gibts bereits eine Lösung?

    Gruss

  • Chris_tianChris_tian MemberComments: 392 Received thanks: 27 Member since: March 2015

    Von Shopware habe ich nach langem hin und her folgende Rückmeldung erhalten:

    wir werden mit einer der nächsten Shopware Versionen eine Verbesserung des Tokenhandlings im Shopware Core veröffentlichen. Wann dies genau und mit welcher Version dies sein wird, können wir leider noch nicht einschätzen.

    Das Tokenhandling der Plugins ist halt abhängig vom Core. Daher kann das Plugin-Update vom PP+ Modul leider auch nur bedingt helfen.

    Wir empfehle bis zum Release der Shopware-Version mit dem verbesserten Tokenhandling das PP+ Plugin zu deaktivieren. Alternativ können Sie das Tokenhandling von Shopware auch ober die config.php deaktivieren. Ersetzen Sie einfach die letzte Zeile

    );

    durch

    'csrfProtection' => [
        'frontend' => false,
        'backend' => true
    ],);

    Letzteres hat zur Folge, dass PP+ wieder funktionieren wird, die Token-Protection für das Frontend allerdings komplett deaktiviert ist. Letzteres sollten sie auf jeden Fall nach Update auf die Shopware-Version, welche die oben aufgezeigte Verbesserung enthält, rückgängig machen.

    "...einer der nächsten Versionen..." hört sich für mich nicht gerade zeitnah an. 

    Quote
    Accepted Answer
    Thanked by 1natelo
  • LiversonLiverson MemberComments: 81 Received thanks: 13 edited February 2017 Member since: March 2013

    Gibts hierzu eigentlich schon was neues?

    Bei uns ist es nach Update auf 5.2.16 nun so, dass sobald jemand eine Lieferadresse im Ausland hat und die Zahlunsweise wechselt (egal welche) den Token-error produziert. Bei einer deutschen Adresse passiert nichts.

    Gruss

Sign In or Register to comment.