Hallo @Andreas_147
danke für diese ausführlichen Informationen!
In der Tat ist es spannend, dass es mit dem privaten Modus keine Probleme gibt 
Wir haben schon vermutet, dass es mit einem „Feature“ von iOS/MacOS/Safari zu tun haben könnte. Zumal es in der Vergangenheit ja ohne Probleme funktionierte.
Viele Grüße aus Schöppingen
Michael Telgmann
Gerne, ich hoffe es hilft euch, den Fehler zu finden. Ich könnte mir vorstellen, das etwas geladen/ausgeführt wird, welches iOS im privaten Modus generell ablehnt/abweist/nicht ausführt, was aber im normalen Modus gemacht wird. Ich möchte auch nicht ausschließen, das es evtl. mit dem PayPal Express 3.7.2 Zahlart-Plugin zusammenhängt.
Ich poste das auch einfach hier nochmal mit rein:
Ich habe jetzt den Abend noch ein wenig rumprobiert und (denke ich) das Problem auf das Shopware Security Plugin eingrenzen können.
Zuerst habe ich das Plugin deaktiviert, den Cache geleert und getestet – ich konnte problemlos bestellen. Dann habe ich das Plugin wieder aktiviert, Cache geleert (auch am iPad) und getestet – Fehlermeldung Invalid Token tritt auf.
Anschließend habe ich begonnen, schrittweise die einzelnen Punkte im Shopware Security Plugin auf „Nein“ zu stellen, den Shopcache zu leeren und zu testen.
Hierbei bin ich auch darauf gestoßen, warum bei manchen der Fehler auftritt und bei anderen nicht. Ich hatte keinen Erfolg, alle Punkte auf „Nein“ und es ging immer noch nicht.
Anschließend habe ich es nochmal getestet, davor den Cache von Safari geleert. Es ging nun.
Testweise habe ich alle Punkte wieder auf „Ja“, das Plugin kurz deaktiviert, anschließend neu aktiviert – und es ging immer noch. Erst, als ich den Browser-Cache vom Safari wieder geelert hatte, ging es wieder nicht mehr.
Daher – bei allen, bei denen das Problem bisher nicht auftritt: Leert einfach mal euren Browser-Cache (Einstellungen > Safari > Verlauf und Websitedaten löschen). Dann müsste – bei vollständig aktiviertem Sicherheits-Plugin der Fehler bei euch auftreten. Probiert anschließend den privaten Modus und testet erneut – der Fehler tritt dann nicht mehr auf.
Durch testen konnte ich es bei mir eingrenzen, das der Kunde (auch ohne privaten Modus) bestellen kann, wenn ich „Create new csrf token with login and logout.#26662“ UND „Invalidate all existing password reset tokens prior to crating a new one. #26666“ auf „Nein“ stelle. Anschließend bitte den Cache leeren.
Wie gesagt, bei mir funktioniert es nun wieder.
@Michael_Telgmann – vielleicht hilft die Eingrenzung euch dabei, das Shopware Security Plugin an den beiden Punkten zu optimieren.
Das ganze ist doch schon x-mal vorgekommen hier im Forum, es gibt auch relativ viele Beiträge wo genau dieses Problem beschrieben ist und dort ist auch genau beschrieben wie das zu lösen ist.
zb.:
Hallo @Andreas_147
danke für deinen Einsatz! Das hilft uns sehr 
Ich habe das mal in das Ticket mit aufgenommen.
Viele Grüße aus Schöppingen
Michael Telgmann
Danke für den Hinweis.
Leider finde ich unter Plugins kein Security Plugin. Ist das woanders?
lg Nadja
vielen Dank. Aber ich hab es dort auch nicht.
War das nicht so, dass man das wenn man nicht updaten konnte, zusätzlich installiert hat?
Ich vermute, das ist nicht installiert.
Ist es dann ratsam das zu installierten um die beiden Einstellungen zu deaktivieren?
VG Nadja
hmm, dann scheint es als ob Du es gar nicht installiert hättest 
Würde ich dann auch nicht.
Ja, scheint so.
Aber den Fehler mit dem invalid Token hab ich trotzdem.
gibt es eine andere Lösung?
Danke und VG Nadja
Hallo zusammen,
wir haben soeben die Version 1.1.37 des Security-Plugins veröffentlicht. Dieses Update sollte die CSRF-Token Problematik mit Safari-Browser beheben.
Viele Grüße aus Schöppingen
Michael Telgmann
@Michael_Telgmann: Ich sage es leider nur ungern, aber es funktioniert weiterhin nicht.
Ich habe das Plugin in der Version 1.1.37 unter Shopware 5.6.6 installiert, natürlich den Shop-Chache geleert und auch am iPad den Cache geleert (sogar zusätzlich komplett neu gestartet) - leider der selbe Fehler „Invalid Token“ - sofern ich nicht im privaten Modus bestelle. Auch beim Firefox für iOS besteht der Fehler noch.
Einziger Unterschied - es genügt nun (bei mir zumindest) im Sicherheits-Plugin den Punkt „Create new csrf token with login and logout.#26662“ auf „Nein“ zu stellen. Anschließend Cache geleert (auch am iPad) gestetst - klappt, auch ohne privaten Modus.
Damit scheint der Fehler in „Invalidate all existing password reset tokens prior to crating a new one. #26666“ behoben zu sein (denn das kann jetzt auf „Ja“ stehen bleiben), besteht aber weiterhin beim Punkt 26662.
Moin @Andreas_147
das ist sehr merkwürdig
Danke für dein Feedback, wir werden uns das noch mal genau anschauen.
Viele Grüße aus Schöppingen
Michael Telgmann
Hier nur als Hinweis hinsichtlich der „unterschiedlichen“ Browser: unter iOS existiert de facto nur Safari - auch ein Firefox oder Chrome unter iOS ist effektiv (zum größten Teil) ein Safari, weil Apple in seiner unendlichen Arroganz Weisheit keine alternativen Browser-Engines unter iOS zulässt…
Wenn ihr betrachtet unter welchen Browsern das auftritt ist also das Betriebssystem immer mit entscheidend - Safari ist halt ein bisschen der moderne Internet Explorer 6…
Moin Andreas,
kannst du noch ein paar Informationen zum Endgerät geben?
Ich hatte es mit IOS 14 getestet, da gab es Probleme, dass document.cookies anders gehandelt wurden bei einem reset von cookies mit dem Wert empty string und expire 0.
LG Pascal
Hallo zusammen,
es ist ein iPad Pro mit iOS 15.6.1 (das Apple nur die Safari-Engine zulässt, ist mir neu - wieder was gelernt )
Auch wir erhalten in den letzten ca. 3 Monaten immer wieder Rückmeldungen von Kunden, die nicht per i-Phone/i-Pad in Verbindung mit Safari im Shop bestellen können. Da uns dadurch schon einiges an Umsatz entgangen ist, würden wir jetzt gerne die CSRF-Token über die config.php deaktivieren/abschalten. (Das Spopware-Sicherheits-Plugin ist bei uns nicht installiert, da wir die Shopware-Version stets aktuell halten.) Nun würde ich gerne wissen, welches Risiko durch eine dauerhafte Token-Deaktivierung eingegangen wird?
Hallo @hinnack
ich rate dringend davon ab, den CSRF Schutz abzuschalten. Hier findest du mehr Infos, welchen Attacken du dich und deinen Kunden damit aussetzt: Cross-Site-Request-Forgery – Wikipedia
Die nächste SW 5.7 Version (5.7.16) wird ebenfalls den Fix enthalten. Das Release ist für Anfang nächster Woche geplant.
Viele Grüße aus Schöppingen
Michael Telgmann
Vielen Dank für die Infos, werde dann wohl besser auf die Version 5.7.16 warten.
Welche der Option im aktuellen Securityplugin behebt bei einer 5.7.15 Installation das Problem mit dem Safari ?
Grüße
Stefan
