Page 1 of 1

Trackback-Kommentar löschen führt zu XSRF-Fehler

Posted: Tue Dec 03, 2019 6:59 pm
by deedw
Hallo,

ich nutze Serendipity 2.1.2. In einem älteren Beitrag (von 2012) möchte ich einen veralteten Trackback-Kommentar löschen. Wenn ich in den Beitragsansicht beim Kommentar auf „Löschen“ klicke, kommt nur: „Ihr Browser hat keinen gültigen HTTP-Referrer übermittelt. Dies kann entweder daher kommen, dass Ihr Browser/Proxy nicht korrekt konfiguriert ist, oder dass Sie Opfer einer "Cross Site Request Forgery (XSRF)" waren, mit der man Sie zu ungewollten Änderungen zwingen wollte. Die angeforderte Aktion konnte daher nicht durchgeführt werden.“ Browser ist Firefox 70.0.1. Passiert aber auch bei Chrome.

Wenn ich den Trackback im Admin-Menü über „Kommentare“ lösche, gibt es kein Problem. Es ist nur etwas umständlich, im Menü die richtigen Trackbacks zu finden, die ich löschen will.

Gruß Dee

Re: Trackback-Kommentar löschen führt zu XSRF-Fehler

Posted: Wed Dec 04, 2019 7:03 pm
by yellowled
Beiträge auf Deutsch bitte nur im Subforum „Generelles auf Deutsch“ posten, alle anderen Subforen sind englischsprachig. [Moderationsgeraschel]

YL

Re: Trackback-Kommentar löschen führt zu XSRF-Fehler

Posted: Wed Dec 04, 2019 7:10 pm
by deedw
Soll ich's auf Englisch nochmal posten? Oder abwarten?

Gruß Dee

Re: Trackback-Kommentar löschen führt zu XSRF-Fehler

Posted: Wed Dec 04, 2019 7:19 pm
by yellowled
Da 95% der s9y-Entwickler deutsch sprechen, dürfte ein zusätzlicher englischer Post nicht viel bringen.

YL

Re: Trackback-Kommentar löschen führt zu XSRF-Fehler

Posted: Thu Dec 05, 2019 2:22 pm
by onli
Dee, welches Theme nutzt du denn? Wobei es wahrscheinlich nichts ändert.

Hat der Link zum Löschen denn als letzten Parameter ein Token?

Re: Trackback-Kommentar löschen führt zu XSRF-Fehler

Posted: Fri Dec 06, 2019 6:34 pm
by deedw
Hi Onli,

Theme ist 2k11.

Und die URL zum Löschen ist:

Code: Select all

http://www.deesaster.org/blog/comment.php?serendipity[delete]=11994&serendipity[entry]=2870&serendipity[type]=trackbacks
Gruß Dee

Re: Trackback-Kommentar löschen führt zu XSRF-Fehler

Posted: Sat Dec 07, 2019 12:54 pm
by onli
Ja, da fehlt dann definitiv das Token. Sollte im Kern eigentlich angehängt werden, wobei ich nicht 100% sicher bin ob 2k11 Trackbacks und Kommentare unterschiedlich behandelt. Bei Kommentaren wird comment.delete_link ausgegeben, und der bekommt im Kern das Token angefügt.

Müsste aber noch schauen ob das reproduziert werden kann, und dafür fehlt mir derzeit das Internet :/ Vielleicht kann jemand übernehmen?

Re: Trackback-Kommentar löschen führt zu XSRF-Fehler

Posted: Sat Dec 14, 2019 12:59 pm
by yellowled
onli wrote:
Sat Dec 07, 2019 12:54 pm
Sollte im Kern eigentlich angehängt werden, wobei ich nicht 100% sicher bin ob 2k11 Trackbacks und Kommentare unterschiedlich behandelt.
Sorry, ich bin spät. Fiese Woche.

2k11, comments.tpl:

Code: Select all

<a class="comment_source_ownerlink" href="{$comment.link_delete}" title="{$CONST.COMMENT_DELETE_CONFIRM|@sprintf:$comment.id:$comment.author}">{$CONST.DELETE}</a>
2k11, trackbacks.tpl:

Code: Select all

<a href="{$serendipityBaseURL}comment.php?serendipity[delete]={$trackback.id}&amp;serendipity[entry]={$trackback.entry_id}&amp;serendipity[type]=trackbacks">{$CONST.DELETE}</a>
Das sind, wenn ich nichts übersehe, nahezu 1:1 die entsprechenden Links aus dem alten Default-Theme, nur dass wir die Löschbestätigung, die es (nur) bei Kommentaren gab, nicht mehr als Inline-JS haben. Sieht für mich nicht so aus, als hätte es etwas mit 2k11 zu tun.

Ist es ein aktuelles, unmodifziertes 2k11?

YL

Re: Trackback-Kommentar löschen führt zu XSRF-Fehler

Posted: Sat Dec 14, 2019 2:36 pm
by onli
Ah, aber das passt und hilft. Da ist ja das token nicht dabei und der Link wird manuell gebaut, also nicht comment.delete_link ausgegeben (wenn das da verfügbar ist). Entweder müssen wir darauf umstellen oder den Token-Parameter an den im Template gebauten Link anhängen.

Re: Trackback-Kommentar löschen führt zu XSRF-Fehler

Posted: Sun Dec 15, 2019 3:46 pm
by thh
onli wrote:
Sat Dec 14, 2019 2:36 pm
Ah, aber das passt und hilft. Da ist ja das token nicht dabei und der Link wird manuell gebaut, also nicht comment.delete_link ausgegeben (wenn das da verfügbar ist). Entweder müssen wir darauf umstellen oder den Token-Parameter an den im Template gebauten Link anhängen.
Könntest Du ein Issue aufmachen, falls ihr nicht sofort zu einem Fix kommt, damit wir das nicht vergessen? (Sorry, komme im Moment und auf absehbare Zeit leider nicht dazu, selbst mitzuhelfen ...)

Re: Trackback-Kommentar löschen führt zu XSRF-Fehler

Posted: Mon Dec 16, 2019 2:51 pm
by onli
Ich habe stattdessen einen Fix gepusht: https://github.com/s9y/Serendipity/comm ... d5edee4ce3 :)

Dee, könntest du das testen? Entweder in 2k11 oder im von dir genutzten Template die trackbacks.tpl ersetzen, oder nur diese Zeile.

Re: Trackback-Kommentar löschen führt zu XSRF-Fehler

Posted: Mon Dec 16, 2019 6:10 pm
by deedw
Hi onli,

hab ich getestet. Link ist jetzt:

Code: Select all

http://www.deesaster.org/blog/comment.php?serendipity[delete]=11997&serendipity[entry]=2868&serendipity[type]=comments&serendipity[token]=51765ec5c9456f87af1d52c190a5c249
Trackback wurde nach Klick auch gelöscht. Funktioniert jetzt also, danke.

Viele Grüße
Dee

Re: Trackback-Kommentar löschen führt zu XSRF-Fehler

Posted: Sat Dec 21, 2019 2:34 pm
by thh
onli wrote:
Mon Dec 16, 2019 2:51 pm
Ich habe stattdessen einen Fix gepusht: https://github.com/s9y/Serendipity/comm ... d5edee4ce3 :)
👍👍👍👍👍👍👍👍👍👍