beim Versuch einige Shops auf SW 6.5.x zu updaten schlug mir ein Fehler entgegen, dass csrf kein gültiger Term in der storefront.yaml sei.
Die Suche brachte mich auf Deprecate csrf - Shopware Developer wo beschrieben wird, dass man sich grundsätzlich von CSRF im Rahmen der Storefront verabschiedet.
Dummerweise gab und gibt die Anleitung zur Integration von einem Reverse HTTP Proxy (z.B. Varnish) aber immer noch vor, dass die storefront.yaml mit dem Abschnitt „csrf“ zu konfigurieren sei:
storefront:
csrf:
enabled: true
# The internal Shopware HTTP cache replaces the CSRF token on the fly. This can't be done in reverse proxy. So we use AJAX to get a CSRF token
mode: ajax
reverse_proxy:
Hat jemand dieses Problem schon gehabt und gibt es hierfür Abhilfe bzw. eine neue Vorgehensweise, die es nicht mit in die Doku geschafft hat?
danke für deine Antwort. Das hatte ich schon versucht, dann hat der Varnish nichts mehr gefunden und die Storefront war überhaupt nicht mehr aufrufbar als Ergebnis. Irgendeine Authentifizierungsmethode wird mit dem gegebenen Setup ja benötigt, allerdings wüsste ich nicht wie es an der Stelle mit SameSite cookies funktionieren soll - die haben da ja nichts mit zu tun.
Edit: Klar, ich kann Varnish ausschalten und natürlich funktionert dann alles aber das ist ja nicht das Ziel, wenn ich Varnish weiterhin nutzen will (Bringt tatsächlich recht viel)
Soweit ich weiß „cached“ Varnish keine Seite in denen Cookies gesetzt werden. Wahrscheinlich müsste man die VCL bei Varnish so anpassen, dass hier nur noch auf das SameSite Cookie getestet wird.
Der CSRF ist (meine ich) auch nichts anderes als ein Cookie.
Das ist dann im Endeffekt das Ergebnis, was auch durch deinen ersten Vorschlag schon entstanden ist. Oder hab ich noch was übersehen? Meine config sieht auf jeden Fall, bis auf die values, dann genauso aus. Das hatte allerdings nichts geholfen.
Vermutlich hängt es noch irgendwo anders dran. Wenn ich es herausfinde werde ich es hier noch hinterlassen.