CSRF Token Fehler verhindert Abschluss der Bestellung in SW 5.7.11

Moin zusammen!

Kunden klagten seid einiger Zeit im Support über die „Invalid Token“ Fehlermeldung.

Heute habe ich mich mal auf die Jagd begeben:
Ich habe unseren Shop (SW 5.7.11, nur PayPal Plugin, Rest Vanilla) mit Bestellungen geflutet.
Das lästige: Meist geht es
Aber: Bei rund 30-40% der Versuche kam tatsächlich die Invalid-Token Fehlermeldung. Unabhängig von der Zahlungsart. Ich habe dies im Safari (Vs. 13, 14, 15) und auf Iphones beobachtet. Mit anderen Browsern konnte ich den Fehler nicht nachstellen.

Ich habe festgestellt, dass mit dem deaktivieren der csrf Protection via config.php gibt es diesen Fehler nicht.

Ich bitte dringend um Behebung. Meine Apple User sind mir lieb und teuer!
Gruß, Paul

2 „Gefällt mir“

Hallo Paul,

wir haben intern das Ganze mit Browserstack getestet und konnten das Problem leider nicht nachstellen.
Falls du einen Weg hast, den Fehler wiederkehrend wiederherzustellen, dann teile uns diesen bitte mit und erstelle ein Supportticket, wenn möglich, damit wird dies ggf. bei auch bei Dir testen können.

Ich hoffe auf dein Verständnis, dass ohne genauere Informationen, es sehr schwierig für uns ist, das Problem zu beheben.

Hallo,
leider kann ich es nicht wiederkehrend nachstellen.
Mich riefen immer mal wieder Kunden an, welche den Fehler beschrieben. Ich fragte immer nach dem System mit welchem Sie unterwegs waren. Sie sagten immer „… Safari …“.
Ich habe den Fehler dann via Browserstack in Safari 13/14/15 in einer Vanilla-Umgebung versucht zu provozieren: Und ja, er kam sporadisch und ja, es erforderte einige Anläufe. - Genau dies macht ihn in meinen Augen so schwer fassbar und lästig.
Als ich diesen dann in einer Session einmal hatte, habe ich den CSRF-Check im Frontend deaktiviert und die selbe Session ließ sich Abschließen (also der Checkout konnte durchgeführt werden).
Zusammenfassend: Kunden rufen selten an bei dieser Art von Fehlern. Ich bin dankbar, dass ich informiert wurde. Ich habe in den Kaufabschlüssen aber schon seid einiger Zeit (6 Wochen, seid dem Upgrade auf 5.7.10 bzw 5.7.11, kommend von 5.6) erhöhte Kaufabbrüche. Ich schiebe dies genauf auf jene Safari User.
Gruß, Paul

1 „Gefällt mir“

Ich habe genau das selbe Problem → Fehler beim Abschliessen des Checkout bei Safari User.
Mit CSRF-Check im Frontend deaktiviert lässt sich zumindest die Bestellung abschliessen, kann jedoch nicht die Lösung sein.

1 „Gefällt mir“

@paul.p kannst du das mal testen? Gravierender Fehler 5.7.9 - CSRF-Token - #85 von PingPong

@paul.p - konntest du das Problem beheben?
Ein Kunde von uns schreibt auch dass der das gleiche Problem hat. Ich konnte es auch mit Browserstack und Safari reproduzieren. Aber das ganze kommt auch sporadisch. Die Version die unser Kunde verwendet ist allerdings 5.6.4

@mmichael - Nein. Ich habe am Ende die „csrfProtection“ für das Frontend ausgeschaltet. Dann ging es. Vermeintliche andere Lösungen die hier diskutiert wurden halfen alle nicht.
Gruß, Paul

1 „Gefällt mir“

Hallo zusammen,

wir haben soeben die Version 1.1.37 des Security-Plugins veröffentlicht. Dieses Update sollte die CSRF-Token Problematik mit Safari-Browser beheben.

Viele Grüße aus Schöppingen
Michael Telgmann