- Posts: 8
- Thank you received: 0
Welcome to the LimeSurvey Community Forum
Ask the community, share ideas, and connect with other LimeSurvey users!
Wiederholte Umfragedurchläufe nicht möglich? (CSRF-Fehler)
- BlackBox
- Topic Author
- Offline
- New Member
bei mehreren direkt hintereinander erfolgenden Umfragedurchläufen (Umfrage ist bewusst so konzipiert, die Teilnehmer werden dazu aufgefordert), bricht die Umfrage ab dem zweiten Durchlauf mit dieser Fehlermeldung ab: "The CSRF token could not be verified". Die Option "Setze Cookie um wiederholte Teilnahme auszuschließen" ist ausgeschaltet, d. h. eigentlich müsste es gehen.
max_input_vars ist auf 5000 gesetzt, die Umfrage reizt diesen Wert bei Weitem nicht aus (vgl. manual.limesurvey.org/Troubleshooting#Af...d_not_be_verified.27 ).
Wenn ich die CSRF-Funktionalität in YII komplett deaktiviere (wie hier beschrieben: www.yiiframework.com/doc/guide/1.1/en/to...t-forgery-prevention ), startet die Umfrage zwar, kommt aber nicht über die erste Fragegruppe hinaus (Klick auf "Weiter" führt auf dieselbe Seite zurück).
LimeSurvey: 2.64.1+170310
PHP: 7.0
MySQL: 5.5
Kann mir jemand weiterhelfen?
Danke & Gruß
Michael
- BlackBox
- Topic Author
- Offline
- New Member
- Posts: 8
- Thank you received: 0
Wir führen zwei Umfragen gleichzeitig durch. Der Fehler tritt nicht nur bei wiederholter Durchführung ein und derselben Umfrage auf, sondern auch, wenn man erst die eine und dann direkt die andere Umfrage durchführt.
Kann es sein, dass die in der Session gespeicherten CSRF-Daten nach Beendigung einer Umfrage nicht korrekt zurückgesetzt werden? Nach meinem Verständnis müssten sie das, jedenfalls wenn die oben erwähnte Option nicht gesetzt ist.
- jelo
- Offline
- Platinum Member
- Posts: 5070
- Thank you received: 1263
BlackBox wrote: bei mehreren direkt hintereinander erfolgenden Umfragedurchläufen (Umfrage ist bewusst so konzipiert, die Teilnehmer werden dazu aufgefordert), bricht die Umfrage ab dem zweiten Durchlauf mit dieser Fehlermeldung ab: "
Sind die Teilnehmer an einem Ort? Nutzen eine Internetverbindung? Gleiche Browser? Gleicher Rechner?
Oder verstreut mit verschiedenen Intetnetverbindungen und verschiedenen Endgeräten/Browsern?
Du meinstDer Fehler tritt nicht nur bei wiederholter Durchführung ein und derselben Umfrage auf, sondern auch, wenn man erst die eine und dann direkt die andere Umfrage durchführt.
Umfrage 1 -> Umfrage 1 (hier Fehler)
Umfrage 1 -> Umfrage 2 -> Umfrage 1(hier Fehler)
Aber NICHT:
Umfrage 1 -> Umfrage 2 (hier Fehler)
Welches Betriebssystem wird beim Webserver eingesetzt?
The meaning of the word "stable" for users
www.limesurvey.org/forum/development/117...ord-stable-for-users
- BlackBox
- Topic Author
- Offline
- New Member
- Posts: 8
- Thank you received: 0
Sind die Teilnehmer an einem Ort? Nutzen eine Internetverbindung? Gleiche Browser? Gleicher Rechner?
Oder verstreut mit verschiedenen Intetnetverbindungen und verschiedenen Endgeräten/Browsern?
Alles divers, die Umfrageteilnehmer antworten von ihren eigenen Geräten.
Umfrage 1 -> Umfrage 1 (hier Fehler) FEHLER
Umfrage 1 -> Umfrage 2 -> Umfrage 1(hier Fehler) So weit kommt man gar nicht (s. nächster Punkt).
Aber NICHT:
Umfrage 1 -> Umfrage 2 (hier Fehler) AUCH HIER FEHLER
Apache auf LinuxWelches Betriebssystem wird beim Webserver eingesetzt?
Wenn ich eine Umfrage über "Umfrage beenden und löschen" abbreche, kann ich sie übrigens direkt wieder starten und der Durchgang läuft korrekt.
Ergänzung: Was zu helfen scheint, ist das Schließen des Browsers zwischen den Durchläufen (dadurch wird der Cookie YII_CSRF_TOKEN gelöscht).
- jelo
- Offline
- Platinum Member
- Posts: 5070
- Thank you received: 1263
Läuft die Befragung auf einer Subdomain? Oder einem Ordner unterhalb der Hauptdomain?
Link zu einer Demobefragung verfügbar?
Im Browser wären mal alle Cookies zu checken, die gesetzt werden, wenn man die Befragung aufruft. Wird am Ende der Befragung die EndURL genutzt und eine Weiterleitung erfolgt?
The meaning of the word "stable" for users
www.limesurvey.org/forum/development/117...ord-stable-for-users
- holch
- Offline
- LimeSurvey Community Team
- Posts: 11746
- Thank you received: 2750
www.limesurvey.org/forum/design-issues/9...e-url-with-newtest-y
I answer at the LimeSurvey forum in my spare time, I'm not a LimeSurvey GmbH employee.
No support via private message.
- BlackBox
- Topic Author
- Offline
- New Member
- Posts: 8
- Thank you received: 0
Ist das ein Fall für den Bugtracker? Was meinen die Experten?
- holch
- Offline
- LimeSurvey Community Team
- Posts: 11746
- Thank you received: 2750
I answer at the LimeSurvey forum in my spare time, I'm not a LimeSurvey GmbH employee.
No support via private message.
- BlackBox
- Topic Author
- Offline
- New Member
- Posts: 8
- Thank you received: 0
- holch
- Offline
- LimeSurvey Community Team
- Posts: 11746
- Thank you received: 2750
Ich wollte eigentlich auch nur Jelo ein bisschen "aufziehen".
I answer at the LimeSurvey forum in my spare time, I'm not a LimeSurvey GmbH employee.
No support via private message.
- jelo
- Offline
- Platinum Member
- Posts: 5070
- Thank you received: 1263
Gibt ja manche Befragungslinks, die das newtest immer mitführen.BlackBox wrote: Aber wäre es nicht sinnvoll und logisch, wenn LS nach vollständigen Durchläufen automatisch die Session zurücksetzen würde?
holch hat ja leider die Lösung zu früh verraten.
Ich wollte ja weitere Infos sammeln, da Fehlerlage meist recht komplex ist.
Dein Fehlerbild kommt ja nicht in allen Setups so vor.
Das Cookie soll ja seine Gültigkeit nach Ende der Session verlieren.
Name YII_CSRF_TOKEN
Value 39dsadsdsdölsadksaödksadkasdsad8 (no real!)
Host demo.limesurvey.org
Path /
Expires At end of session
Secure Yes
HttpOnly No
Je nach Browser werden solche Sessions/Cookies aber auch zwischengespeichert.
Zumal wenn x Tabs offen sind.
Und beim erneuten Aufruf kommen die Websites dann aus dem Cache, anstatt neu abgerufen zu werden.
www.yiiframework.com/wiki/506/checking-f...-on-the-client-side/
Stets am Ende das NewTest mitlaufen zu lassen, ist natürlich auch eine Möglichkeit.
Können sich die Entwickler ja mal zu auslassen. Ich diene hier mehr als Waldorf- und Statler-Double. Ich sehe konzeptionell nur das Problem, dass newtest ja eine neue Session initiert, obwohl am Ende ja nicht zwangsläufig eine neue Session benötigt wird.
Da hier auf das Yii-Framework aufgesetzt wird, gibt sicherlich auch noch die ein- oder andere Macke im Zusammenspiel mit altem Code.
www.yiiframework.com/doc/guide/1.1/de/topics.security
Und dieser Fehler ist bei allen Nutzern auftaucht? Oder gibt es Ausnahmen im Feld?
Was ist mit unterschiedlichen Zeitabständen des Zugriffs?
The meaning of the word "stable" for users
www.limesurvey.org/forum/development/117...ord-stable-for-users
- holch
- Offline
- LimeSurvey Community Team
- Posts: 11746
- Thank you received: 2750
jelo wrote: holch hat ja leider die Lösung zu früh verraten.
Sorry...
I answer at the LimeSurvey forum in my spare time, I'm not a LimeSurvey GmbH employee.
No support via private message.