Zugriff verboten CSRF check failed

Hallo Forum,

nc lÀuft bei mir auf einem raspberry 4b auf Dietpi (basiert auf raspbian buster). Als Server lÀuft lighttpd.

Seit kurzem erhalte ich hÀufiger, wenn ich mich auslogge, die Meldung

“Zugriff verboten CSRF check failed”

Wenn ich dann im Browser zurĂŒck gehe, bin ich wieder oder noch immer eingelogt. Dieses Verhalten ist schon unschön, allerdings kann ich mich von dem nexcloud-client 2.6.0 auch nicht anmelden, da er kein App-Passwort erhĂ€lt.

Hat einer eine Idee, woran das liegen kann? Die App password policy habe ich versuchsweise deaktiviert, das hat aber keinen Unterschied gebracht.

Ich kann auch gerne die Systemdatei oder weitere Log-Dateien zur VerfĂŒgung stellen.

Vielen Dank schon einmal fĂŒr die Hilfe!

Rick

1 Like

Willkommen!

Moin,

das könnte z.B. daran liegen, daß die im NC Server bei config.php eingetragenen Adressen nicht richtig zugeordnet sind oder wenn der Internet-Browser einen Cookie der NC vorzeitig löscht oder aber falsche Informationen im Cache hat. Wurden domain oder IP des RP-Rechners vielleicht geĂ€ndert und dabei die deshalb nötige Anpassung beim NC Server vergessen?

Viel Erfolg!
:four_leaf_clover:

Hallo TP75,

danke fĂŒr die Tipps.

Es ist ein fresh-install, die IP und die Domain (ĂŒber dyndns) ist schon ewig dieselbe.

In der config.php steht gar keine Adresse
 :thinking:

Hilft es, wenn ich die Systeminfos mal schicke?

Ich habe es mit 2 verschiedenen Browsern versucht, mein Firefox ist mit Ublock-Origin, NoScript, etc. ausgerĂŒstet, aber Opera ohne alles zeigt das gleiche Verhalten. Daraus schließe ich, dass es eher an dem Server liegt als an den Browsern.

Moin,

dann liegt es vermutlich daran.

Bitte unbedingt die config.php geeignet anpassen

'trusted_domains' =>
  array (
    'demo.meine_domain.tld',
    '192.168.xx.xx',
  ),

Hier die lokale IP-Adresse des RP-Rechners und eine oder mehrere Domain-Angaben eintragen. Letztere mĂŒssen natĂŒrlich vorher im lokalen DNS oder ĂŒber das Internet definiert worden sein.

Dazu vor allem nochmals das NC 16 Admin manual Installation and server configuration nachlesen.

Viel Erfolg!
:four_leaf_clover:

NB Ein “Problem gelöst” (mit Haken :white_check_mark:) oder eine kleine Geste der Zufriedenheit als ein “dieser Beitrag gefĂ€llt mir” (mit einem Klick auf das Herz :heart: am unteren Rand) bei einem oder mehrerer meiner obigen BeitrĂ€ge wĂŒrde mich freuen. Der Applaus wĂ€re (nicht nur aber auch fĂŒr mich) ein schöner Dank und genug Motivation fĂŒr kĂŒnftige Ă€hnliche Hilfestellungen

:smiley:

1 Like

Hallo,

jetzt habe ich in der config.php den Abschnitt mit der Domain und der lokalen IP ergÀnzt, php und den lighttpd neu gestartet, aber leider ohne Erfolg. Die Meldung erscheint immernoch.

Vorher stand ĂŒbrigens “localhost” und “*” in diesem Abschnitt.

Ich werde mir heute Abend mal das Admin manual vornehmen und schauen, ob ich noch etwas ergÀnzen muss.

Nun ja, localhost darf ja auch darin stehen bleiben, denn das ist allgemein die Adresse zum lokalen Aufruf, wenn man am selben Rechner sitzt und denselben Rechner z.B. per http mit dem eigenen Internet-Bowser aufruft. Dann wird diese Netz-Anfrage lokal ĂŒber die Netzwerklogik vom Betriebssystem an die eigene lokale IP-Adresse 127.0.0.1 gegeben und man kann damit einen eigenen Web-Service wie z.B. einen lokalen NC Server (der auf demselben Rechner lĂ€uft) aufrufen.

Das obige array ist ĂŒbrigens ein Feld, in dem man zeilwenweise nahezu beliebig viele EintrĂ€ge machen darf, sofern man sich dabei nicht an der falschen Stelle vertippt.

Grundkenntnisse zum Internet-Protokoll IPv4 im Neuland wĂ€ren vermutlich hilfreich fĂŒr dieses kleine Abenteuer.

Das Handbuchkapitel NC 16 Docs » Nextcloud configuration » Configuration Parameters mit dazu hilfreichen Hinweise habe ich oben bereits erwÀhnt.

Viel Erfolg!
:four_leaf_clover:

Moin rick110,
hast du rausgefunden woran es lag? Ich habe das selbe Problem beim Ausloggen und bisher noch keine Lösung gefunden. Der sync client, caldav, carddav usw. funktionieren.

Bei mir lÀuft mittlerweile NC 17.0.2.1 unter debian buster mit lighttpd. Meine config.php.
FrĂŒherℱ ging das mal. Seit irgendeinem Update kommt aber der Fehler. Die Installation ist schon uralt und wurde immer wieder aktualisiert.

Florian

Hallo,

nein, ich habe auch noch keine Lösung gefunden. Ich habe schon ĂŒberlegt, das nĂ€chste mal apache statt lighttpd zu installieren


Aber unbefriedigend ist der Zustand schon!

Wenn Du etwas herausfindest, wĂ€re ich Dir fĂŒr einen Hinweis dankbar.

Viele GrĂŒĂŸe

rick

Hallo,
das Problem existiert bei mir auch. Nextcloud lĂ€uft auf einem eigenen Server bei owncube unter apache. Daran könnte es also auch nicht liegen
,

Viele GrĂŒĂŸe

Gut zu wissen, dann kann ich mir diesen Versuch schon mal sparen :frowning:

Oh, hallo zusammen, hatte gar keine Benachrichtigung zu euren Antworten bekommen


Ich habe probeweise mal auf dem selben Server in einem anderen Unterverzeichnis ĂŒber den Webinstaller eine neue Instanz installiert: die hat aber genau das selbe Problem.

Ich vermute mittlerweile, dass die Lösung irgendwo bei der Webserver- oder der php-Konfiguration zu finden ist. Da das Verhalten offensichtlich auch beim Apache auftreten kann wĂŒrde ich da mal eher auf PHP tippen :slight_smile:

Trotz mehrerer Updates und Deaktivierung (fast) aller Apps besteht das Problem bei mir immer noch. Und es nervt auch gewaltig


Ich habe mir noch in einer VM dietpi mit nextcloud neu installiert und exoerimentiere, wenn ich jetzt bald mehr Zeit habe, dort noch etwas herum.

Ansonsten bin ich mit meinem minimalen Latein aber auch schon am Ende.

Ich habe hier

https://github.com/nextcloud/server/issues/17065

eine Lösung fĂŒr mich gefunden!

In der Datei

/etc/lighttpd/lighttpd.conf

die Zeile

"url-normalize-required" => "enable"

auskommentieren zu

#"url-normalize-required" => "enable"

Das hat bei mir Abhilfe geschaffen!

1 Like

Wahnsinn! Hatte auch auf Englisch gesucht, das aber nicht gefunden.
Es funktioniert auch fĂŒr mich! :smiley:

Besten Dank fĂŒrs Teilen!

Ich habe nextcloud im sicher mir Apache installiert und dort jetzt auch das Problem, allerdings nur, wenn ich ein paar Passwort freigegebenes Verzeichnis auf einem iPhone aufrufen will. Der selbe Zugang funktioniert in Firefox auf Android.

Hab ich hier auch gerade. Nur von Android und nur vom Browser Brave. Firefox und Chrome funktionieren normal.

Hier wirds auch einfach erklÀrt
 Die Funktion ist grundsÀtzlich sehr hilfreich. Da macht der Brave Browser wohl etwas, was nicht ganz so Standard ist.

https://support.campact.de/de/kb/articles/was-ist-ein-csrf-fehler

Hab das selber Problem, allerdings leider ziemlich neu. Da das ganze auf einem Synology lÀuft habe ich das lighttpd.conf nirgends. Kann mir jemand eventuell helfen?

Hallo
bin zufĂ€llig auf diesen threat gestoßen.
bei mir lags einfach nur am Browser(Firefox) in Chrome ging alles normal