Invalid Token abfangen


Was ist "Invalid Token"? Und warum passiert es?

Haben Sie schon einmal nach einem Login Versuch eine leere Joomla Seite mit der einer "invalid Token" Nachricht gesehen?

Die Meldung: „Die Anfrage wurde zurückgewiesen, da der Sicherheitstoken ungültig ist.“ tritt unter bestimmten Bedingungen auf.

Um Joomla-Webformulare vor CSRF-Angriffen zu schützen, hat man in Joomla die Sicherheitstoken-Prüfung eingeführt.

Beim Besuch der Website mit Formularübermittlung (z.B. Login) wird ein Token mit Ablaufzeit gesetzt. Werden nicht innerhalb einer bestimmten Zeitspanne die Daten übermittelt, verfällt der Token und wird ungültig.

Hier sind einige Beispielfälle, in denen falsch negative Ergebnisse auftreten können:

  • Ein Benutzer greift auf die Verwaltungsseite zu und meldet sich dann an. Beim Einloggen erscheint die Meldung "Invalid Token".
  • Ein Benutzer hat eine Registerkarte mit der Anmeldeseite vom Vorabend geöffnet. Der Benutzer versucht sich anzumelden und erhält die Meldung "Ungültiges Token".
  • Ein Nutzer klickt auf einen Werbe-Link in einer E-Mail. Der Benutzer füllt dann das Formular auf der Website aus und erhält die Meldung "Ungültiges Token".

Schritte zum Replizieren des Fehlers

Der einfachste Weg, den Fehler zu replizieren, besteht darin, die folgenden Schritte auszuführen:

  1. Öffnen Sie eine Anmeldeseite und melden Sie sich an.
  2. Öffnen Sie auf einem neuen Tab im selben Browser dieselbe Anmeldeseite und versuchen Sie sich auch hier anzumelden. Sie erhalten die Meldung "Invalid Token".

Weitere Details und wie man das Ganze verhindern kann finden Sie im EBW Joomla Clubbereich. Zusammen mit einer deutschen Dokumentation finden Sie dort auch ein entsprechendes Tool, das hilft das Problem zu umgehen.

Joomla Video Player inkl. deutschem E-Book
Softwarepakete zu Joomla und Erweiterungen inkl. T...
 

Kommentare

Derzeit gibt es keine Kommentare. Schreibe den ersten Kommentar!
Bereits registriert? Hier einloggen
Gäste
Montag, 18. März 2019
Für die Registrierung bitte Benutzername, Passwort und nötige Felder eingeben.

Sicherheitscode (Captcha)