CSFR Token deaktivieren. config.php

Shopware 5 Programmierung
1

Lieber shopwarer,

ich bekomme am laufenden Band folgende Fehlermeldung:

The provided X-CSRF-Token for path “/newsletter” is invalid.

Jetzt möchte ich den CSFR Token dekativieren in der config.php. Nur bin ich zu doof dazu.

Hier ist der Code aus dem developers guide.

...
'csrfProtection' => [
    'frontend' => false,
    'backend' => false
],
...

Das ist meine config.php

  array (
    'host' => 'localhost',
    'port' => 'xxx',
    'username' => 'db10xxxx',
    'password' => 'xxx',
    'dbname' => 'db10xxx',
  ),
	'front' => 
	      array( 'showException' => true )
);

Also ich weiß nicht wo ich genau den cide in die config.php einfügen muss. Außerdem werden in dem code aus dem developers guide andere Klammern verwendet wie in der config.php.

Ich habe keine Ahnung von php. Kann mir dass bitte Jemand richtig einsetzen.

Wenn ich es mache gibts einen Http error 500 und der Shop ist down.

VIELEN DANK!!

Lars

2

Also ich will dir da nicht helfen, da man die CSRF-Protection nur zu Testzwecken ausschalten soll. Das ist unsicher und hat in einem Live-Shop nichts zu suchen. Du machst da eine große Sicherheitslücke in deinem Shop auf. *facepalm*

Viele Grüße

3

OK, gibt es sonst eine Möglichkeit die ganzen Fehlermeldungen weg zu bekommen?

es sind mindestens 30 Mails am Tag mit der gleichen Error Message. Es liegt glaube an Bots die die Footer-Newsletternameldung für irgend welche Spam-Mails verwenden wollen.

4

Das Thema wurde aber schon wirklich genug im Forum durchgekaut - insbesondere der CSRF auf /newsletter.
Bot klappert Shop unspeziefisch ab, Bot ruft den newsletter-Controller auf - Bot hat den Sicherheitstoken nicht, und Shop macht genau das, wofür der Schutz gedacht ist: Aufruf abblocken und Fehlermeldung ausgeben. Was hilft? Ignorieren und damit leben! Oder Stufen für Fehlermeldungen umstellen und Fehler per E-Mail abstellen.
Wäre das Gleiche, wenn dauernd einer an Deinen Fenstern hämmert und die Alarmanlage auslöst. Du schaltest dann ja auch nicht als Abhilfe die Alarmanlage aus  Wink

2 „Gefällt mir“
5

@ sonic

ja das klingt logisch.

Wie stelle ich denn die Stufen für Fehlermeldungen um? Weil wenn ich die Fehlermeldung per eMail abbestelle krieg ich ja garnichts mehr… :frowning:

Besten Dank.

6

ok ich war wieder zu schenll. 

Grundeinstellungen / System / Log

habe das LOg-Level jetzt auf “Alert” gestellt, da die die anderen Nachrichten “Error” oder sogar "Critica"l waren.

7

Ähm, wir sind schon ein paar Wochen auf Version 5.4.4.
Die Zeile für die Einstellungen des Log-Levels gibt es bei uns nicht.
Wie kann ich denn prüfen, was da schief gelaufen ist bzw. wie komme ich an Einstellungen?
Der Cache ist schon zig-fach geleert worden in der Zwischenzeit.

8

@simplybecause schrieb:

Ähm, wir sind schon ein paar Wochen auf Version 5.4.4.
Die Zeile für die Einstellungen des Log-Levels gibt es bei uns nicht.
Wie kann ich denn prüfen, was da schief gelaufen ist bzw. wie komme ich an Einstellungen?
Der Cache ist schon zig-fach geleert worden in der Zwischenzeit.

Vielleicht fehlt dir nur das config-element?

https://github.com/shopware/shopware/blob/56df57575909854d2dec7fcba07500e27a3361ee/\_sql/migrations/1209-add-error-mail-log-level-config-option.php 

9

Den Eintrag in der Datenbank haben wir.
Was meinst Du mit „Vielleicht fehlt dir nur das config-element?“