Hallo! In unserem Shop haben wir das Problem, dass nach jeder Neukompilierung des Themes, Kunden auf diversen Seiten den X-CSRF-Token Fehler erhalten und den Einkauf nicht fortsetzten können. Das betrifft nur die Kunden, die den Shop zuvor schon einmal besucht haben. Das Problem lässt sich lösen, in dem der Kunde seinen Browser-Cache leert. Das ist natürlich ärgerlich dem Kunden jedes mal erklären zu müssen, dass er seinen Browser-Cache leeren muss um einkaufen zu können. Auf den CSFR Schutz möchten wir aber auch nicht verzichten. (Abschalten in der config). Gibt es vielleicht einen Weg das Problem anders zu lösen? Haben auch andere dieses Problem?
Durch eine Neukompilierung werden die Cache gelöscht, und damit werden auch die Token für CSRF ungültig, der Kunde hat aber noch den alten Token in der Session. Also nur dann rumkompilieren, wenn keiner im Shop ist Irgendwo hat das System dann auch mal nicht beherrschbare Grenzen.
Ja, das passiert auch nur in der Nacht. Und betroffene Kunden besuchen die Seite erst Tage später, bekommen aber trotzdem diesen Fehler. Wenn das Problem nur für die „online now“ Kunden bestehen würde, wäre es nicht schlimm.
Auf den CSFR Schutz möchten wir aber auch nicht verzichten. (Abschalten in der config).
Dann heißt abwarten und Kunden verärgern.
Ich wollte das erst auch nicht, bis ich erfahren habe, dass es diesen Schutz ohnehin erst seit 5.2 gibt.
Du hast die Wahl
Naja, muss man täglich das Theme neu kompilieren?
Das Szenario dürfte technisch nicht zu lösen sein. Du kannst auch schlecht die Unterhose wechseln, ohne die Hose ausziehen zu müssen
Dann heißt abwarten und Kunden verärgern.
Ich wollte das erst auch nicht, bis ich erfahren habe, dass es diesen Schutz ohnehin erst seit 5.2 gibt.
Du hast die Wahl
Also mit anderen Worten, der Schutz wurde eingeführt, damit er im DemoShop getestet werden kann. In der Praxis ist dieses Modul im Augenblick nicht einsatzfähig. Denn ich kann mir kaum vorstellen, dass auch ein kleiner Shop, nach jedem Update am Theme seine Kunden durchruft und sie bittet den Browsercache zu leeren. Dann macht es Sinn den Schutz bei default (bei Installation) auszuschalten.