Erreur CSRF token - avec IE 11

More
1 week 5 days ago - 1 week 5 days ago #169733 by riqcles
riqcles created the topic: Erreur CSRF token - avec IE 11
Bonjour,
je rencontre le problème de jeton CSRF qui au début n'était pas évident à reproduire.

J'avais comme navigateur par défaut Firefox.
Lorsque je testait mes questionnaires avant activation, ou après activation, avec ou sans invitations, pas de PB !

Par contre, j'ai eu une mise à jour qui a remis comme navigateur par défaut Internet Explorer.



Voici les différents scénarios pour reproduire cette erreur :

Pré-requis : un questionnaire avec une table d'invitation (et des invités lol ).



1. IE avec un Onglet différent de LimeSurvey

Si Internet Explorer est lancé avec un premier onglet autre qu'une page de limesurvey, les tests fonctionnent (clic sur le lien reçu dans l'invitation --> ouverture d'un nouvel onglet.)

2. IE avec un Onglet avec LimeSurvey

Si vous avez ouvert un onglet en allant sur un questionnaire / ou interface d'administration , le fait d'utiliser le lien pour participer à un questionnaire ouvre un nouvel onglet. Si on commence à répondre au questionnaire, on aura le message d'erreur CSRF.

Il faudra fermer IE, puis le lancer de nouveau avec AUCUN onglet en lien avec limesurvey, avant de cliquer sur le lien reçu dans l'invitation.


3. IE en navigateur par défaut - PAS OUVERT

Si vous cliquez sur le lien reçu par invitation, IE va s'ouvrir et lorsqu'on commencera a remplir le questionnaire, on aura le message d'erreur.


Testés sur les versions suivantes :
2.62.2+170203 --> KO
2.73.1+171220 --> KO
2.64.3+170327 --> KO

Version 3.9.0+180604 --> no mail send

Pour la V3, je viens de réaliser une installation neuve (pas de reprise d'ancienne données ni de BDD --> neuve quoi :) )

--> Impossible d'envoyer des mails, alors que c'est le même serveur qui héberge la V2.62 et le même serveur de mail (MailHog).


@Denis : merci pour l'information, il s'agit de la session (PHPSESSID) qui doit être ouverte par IE lors de son lancement.

J'ai rajouté le paramètre, mais pas de changement pour IE (en tout cas je peux ouvrir plusieurs versions dans le même navigateur :) )

'session' => array(
'sessionName' => "Dev",
),

Je rajoute le questionnaire qui m'a permis de faire les tests (il est très simple).

@ tous : Pourriez-vous tester pour que je puisse reporter le bug ? (si je suis pas un cas isolé :) )

J'ai du désactiver la gestion des CSRF dans le fichier de config pour permet aux personnes de répondre.

LimeSurvey version 2.64.3+ 170327
OS : CentOS 7.1 / PHP 5.6.27
BDD : PostGresql 9.4.6 /
Attachments:
Last Edit: 1 week 5 days ago by riqcles. Reason: Ajout des pièces jointes
The following user(s) said Thank You: LouisGac

Please Log in or Create an account to join the conversation.

More
1 week 5 days ago #169735 by riqcles
riqcles replied the topic: Erreur CSRF token - avec IE 11
Il y a deux pièces jointes :

Un document Word avec les captures d'écrans de chaque version
Un fichier .lss qui contient le questionnaire.


Ca va être coton la traduction en anglais pour le Bugtracker :woohoo:

LimeSurvey version 2.64.3+ 170327
OS : CentOS 7.1 / PHP 5.6.27
BDD : PostGresql 9.4.6 /

Please Log in or Create an account to join the conversation.

More
1 week 5 days ago #169743 by riqcles
riqcles replied the topic: Erreur CSRF token - avec IE 11
Pour la V3 - voir le sujet sur l'erreur d'email : l'email de l'admin est vide.

Après avoir modifié, j'ai le même problème avec la v3 et IE. :(

LimeSurvey version 2.64.3+ 170327
OS : CentOS 7.1 / PHP 5.6.27
BDD : PostGresql 9.4.6 /

Please Log in or Create an account to join the conversation.

More
1 week 4 days ago #169753 by LouisGac
LouisGac replied the topic: Erreur CSRF token - avec IE 11
merci pour ce rapport détaillé.
un rapport de bug aurait été parfait

Please Log in or Create an account to join the conversation.

More
1 week 4 days ago - 1 week 4 days ago #169755 by DenisChenu
DenisChenu replied the topic: Erreur CSRF token - avec IE 11

riqcles wrote: …
@Denis : merci pour l'information, il s'agit de la session (PHPSESSID) qui doit être ouverte par IE lors de son lancement.

J'ai rajouté le paramètre, mais pas de changement pour IE (en tout cas je peux ouvrir plusieurs versions dans le même navigateur :) )

'session' => array(
'sessionName' => "Dev",
),

Je rajoute le questionnaire qui m'a permis de faire les tests (il est très simple).

Zut,
Je pensais sincérement que cela pouvait être cela, puisque cela l'avait corrigé sur une autre installation … :(

Mais c'était pas particulièrement avec un onglet LimeSurvey, en fait c'était IE ouvert : bogue …

Comme je n'ai pas pris le temps de récupérer et d'installer un windows virtuel … pas rapporté le bug

Assistance on LimeSurvey forum and LimeSurvey core development are on my free time.
I'm not a LimeSurvey GmbH member, professional service on demand (or search sondages pro).
An error happen ? Before make a new topic : remind the Debug mode .
Last Edit: 1 week 4 days ago by DenisChenu.

Please Log in or Create an account to join the conversation.

More
1 week 4 days ago #169769 by riqcles
riqcles replied the topic: Erreur CSRF token - avec IE 11
Pas de problème, je vais faire le bug (maintenant que je le maitrise lol), je me demandais si ce n'était que moi.

Ce soir :)

LimeSurvey version 2.64.3+ 170327
OS : CentOS 7.1 / PHP 5.6.27
BDD : PostGresql 9.4.6 /

Please Log in or Create an account to join the conversation.

More
1 week 3 days ago #169827 by riqcles
riqcles replied the topic: Erreur CSRF token - avec IE 11

LimeSurvey version 2.64.3+ 170327
OS : CentOS 7.1 / PHP 5.6.27
BDD : PostGresql 9.4.6 /
The following user(s) said Thank You: DenisChenu, LouisGac

Please Log in or Create an account to join the conversation.

More
1 week 3 days ago #169828 by LouisGac
LouisGac replied the topic: Erreur CSRF token - avec IE 11
merci beaucoup, ça nous mâche vraiment bien le travail.

Please Log in or Create an account to join the conversation.

More
1 week 18 hours ago #169986 by DenisChenu
DenisChenu replied the topic: Erreur CSRF token - avec IE 11
@riqcles : Tammo semble dire que c'est bien lié à l'ajax. Pourrais tu le confirmer ?

Assistance on LimeSurvey forum and LimeSurvey core development are on my free time.
I'm not a LimeSurvey GmbH member, professional service on demand (or search sondages pro).
An error happen ? Before make a new topic : remind the Debug mode .

Please Log in or Create an account to join the conversation.

More
3 days 13 hours ago #170147 by riqcles
riqcles replied the topic: Erreur CSRF token - avec IE 11
Bonjour, je n'avais pas reçu de notification de l'avancé sur le forum (ni sur le bug tracker)

Dis moi ce que tu veux que je fasse et je le ferais ce soir.

N.B : j'ai essayé d'ajouter le plugin du Bugtracker dans le répertoire plugin, mais cela ne fonctionne pas (il n'apparait pas dans ma liste de plugin (j'ai mis apache en propriétaire et 777 pour les droits, redémarré le serveur et rien) !

LimeSurvey version 2.64.3+ 170327
OS : CentOS 7.1 / PHP 5.6.27
BDD : PostGresql 9.4.6 /

Please Log in or Create an account to join the conversation.

More
3 days 11 hours ago #170164 by DenisChenu
DenisChenu replied the topic: Erreur CSRF token - avec IE 11

riqcles wrote: …
N.B : j'ai essayé d'ajouter le plugin du Bugtracker dans le répertoire plugin, mais cela ne fonctionne pas (il n'apparait pas dans ma liste de plugin (j'ai mis apache en propriétaire et 777 pour les droits, redémarré le serveur et rien) !

Ah zutre …

ca donne quoi dans plugins ? Tu as bien plugin/sessionNameBySurvey/sessionNameBySurvey.php ?

Bon, de toutes façon, je crains que cela ne fonctionne pas … Ca reste intéressant pour avoir des sessions plus petites mais :
1. La prévisu ne fonctionne plus (normal : pas la même session) : corrigeable
2. Le CRSF est dans les cookies pas dans la session. Il faudrait modifier les paramètres du cookies en fonctions du questionnaire, mais il est créé avant l‘appels de plugins (et même en modifiant le cœur : je vois pas trop ou intervenir …), sans doute surcharger la fonction de Yii …

Assistance on LimeSurvey forum and LimeSurvey core development are on my free time.
I'm not a LimeSurvey GmbH member, professional service on demand (or search sondages pro).
An error happen ? Before make a new topic : remind the Debug mode .
The following user(s) said Thank You: riqcles

Please Log in or Create an account to join the conversation.

More
2 days 17 hours ago #170222 by riqcles
riqcles replied the topic: Erreur CSRF token - avec IE 11
J'ai essayé un autre plugin : arrayTextAdapt
il est bien visible dans la liste.

L'autre plugin doit apparaitre ?

J'ai modifié le fichier config.php

'session' => array (
'autoStart' => false,
'sessionName' => "LimeSurvey",
),

Pas mieux comme tu avais prévu.

LimeSurvey version 2.64.3+ 170327
OS : CentOS 7.1 / PHP 5.6.27
BDD : PostGresql 9.4.6 /

Please Log in or Create an account to join the conversation.

More
2 days 17 hours ago #170225 by DenisChenu
DenisChenu replied the topic: Erreur CSRF token - avec IE 11
Avec autoStart à false sans le plugin : ca va pas fonctionner …

Oui, l'autre plugin doit apparaitre … je ne comprend pas …

Assistance on LimeSurvey forum and LimeSurvey core development are on my free time.
I'm not a LimeSurvey GmbH member, professional service on demand (or search sondages pro).
An error happen ? Before make a new topic : remind the Debug mode .

Please Log in or Create an account to join the conversation.

More
2 days 12 hours ago #170254 by riqcles
riqcles replied the topic: Erreur CSRF token - avec IE 11
ok j'ai trouvé :

sessionNameBySurvey-master

faut supprimer le -master et ç'est ok.

Bon, re-test.... toujours KO :(

LimeSurvey version 2.64.3+ 170327
OS : CentOS 7.1 / PHP 5.6.27
BDD : PostGresql 9.4.6 /

Please Log in or Create an account to join the conversation.

More
2 days 6 hours ago #170260 by DenisChenu
DenisChenu replied the topic: Erreur CSRF token - avec IE 11
Bon, je m'en doutais … un peu …

Le plugin reste intéressant (séparation des session admin/publique, session plus légére puisqu'elle ne concerne qu'un seul questionnaire , mais faut que je corrige la prévisualisation, c‘est pas très difficile).

Ca me fait penser à autre chose : en cas de CRSF : il faudrait tout de même que l'on ai une page plus jolie. Avec même un bouton "revenir en arrière" qui réinitialiserais le cookies CRSF. Le problème existerais encore mais serait moins grave.

J'ai commencé à faire une réelle page 404, je vais y ajouter la 401 et la CRSF.

Assistance on LimeSurvey forum and LimeSurvey core development are on my free time.
I'm not a LimeSurvey GmbH member, professional service on demand (or search sondages pro).
An error happen ? Before make a new topic : remind the Debug mode .

Please Log in or Create an account to join the conversation.

Moderators: Nickko

Start now!

Just create your account and start using Limesurvey today.

Register now
Join our Newsletter!