FHEMWEB WEB CSRF error

[D3ltorohd]

Um sicher zu gehe, indem Fall mit Token.

Ich komm da aber immer noch nicht so klar mit. Sorry.

Also das token wird gebraucht damit mein Browser damit identifiziert wird und FHEM steuern kann ?

Weshalb kann ich dennoch alles steuern vom Browser aus, mit dieser Token Geschichte hab ich noch nie was gemacht.

Und warum fällt mir der Fehler erst jetzt auf ? Nachdem ich OH2 deinstalliert habe und die Pakete bereinigen lies ?

Nutze z.b. Tablet UI, damit kann ich soweit alles steuern was ich an Aktoren habe.

[Otto123]

Hab mir mal die Wiki durchgelesen, aber steig da nicht wirklich durch.

Hast Du da bitte Details? Ich habs an der Stelle hauptsächlich geschrieben und würde es gern besser machen.

Deine Medlung (vermute ich) kommt beim Neustart von FHEM wenn Du mit dem Browser auf eine Detail Seite warst und nach dem Neustart einfach einen Refresh machst (oder der Browser automatisch)

Gruß Otto

[D3ltorohd]

Hast Du da bitte Details? Ich habs an der Stelle hauptsächlich geschrieben und würde es gern besser machen.

Deine Medlung (vermute ich) kommt beim Neustart von FHEM wenn Du mit dem Browser auf eine Detail Seite warst und nach dem Neustart einfach einen Refresh machst (oder der Browser automatisch)

Gruß Otto

Gleich im ersten Teil steht ::

Code Auswählen Erweitern

Dieses Feature erhöht die Sicherheit, führt aber dazu, dass man nicht mehr mit einem einfachen http Link auf das FHEMWEB zugreifen kann.

Ich muss aber einfach nur in meinem Browser folgendes

Code Auswählen Erweitern

http://192.168.178.30:8083/fhem eingeben und komme direkt auf das Interface. Hier kann ich auch die Aktoren schalten ?

Über FTUI kann ich auch steuern. Mit sowas habe ich noch nicht gearbeitet ?

Code Auswählen Erweitern

http://localhost:8083/fhem?cmd=set%20Office%20on

Und mit sowas schon gleich gar nicht ::

Code Auswählen Erweitern

curl -s -D - 'http://localhost:8083/fhem?XHR=1' | awk '/X-FHEM-csrfToken/{print $2}'

Daher zumindest für ich verwirrend, da ich keine Ahnung habe, was da passiert und wo das ein zu geben ist.

[Otto123]

Es geht ja nicht um die interaktive "Klick" Arbeit mit dem Browser, der macht das Transparent (bis auf deinen Fall)
Es geht wirklich um den Link (Beispiel) der direkt durch den Klick darauf etwas auslöst!

In vielen alten Anleitungen steht:
Mann kann von jedem x beliebigen System (ohne Browser, ohne FHEM) einen http Aufruf machen:
http://localhost:8083/fhem?cmd=set%20Office%20on
und damit den Aktor "Office" auf on schalten.
Das geht eben nicht mehr...

Ok die Einleitung enthält keine Prosa, aber wenn man bis zum Ende liest steht doch alles mit Beispielen da "wo und wie" das verwendet werden kann?
Und in den 3 Links zum Schluss findest Du doch auch etwas "Prosa"?

[D3ltorohd]

Ich hab nicht bis zum Ende gelesen  Da ich oben schon ausgestiegen bin.

Aber indem Fall sollte mich das nicht betreffen und kann ich so erst mal ignorieren, wenn der Logeintrag so erst mal nicht weiter stört oder irgendwas nicht richtig funktioniert.

[Otto123]

Ich habe die Einleitung und Struktur angepasst, damit Du mit gutem Gewissen aussteigen kannst. Kannst ja nochmal drüberlesen und Feedback geben

Es sollte bei Dir aber normalerweise nicht auftauchen! Einzige Ausnahme: Du stehst auf eine Seite mit CsrfToken hinten dran (soviele gibt es im FHEMWEB da nicht mehr), drückst auf shutdown restart und dann bleibt der Browser so stehen und nach einer Minute (oder so) drückst Du auf refresh (oder der Browser macht es allein)

Mein nachvollziehbares Beispiel:
ich habe ein MQTT Device offen, drücke auf das grüne MQTT2_DEVICE in der Zeile TYPE es öffnet sich eine list Ansicht und in der Browser Zeile steht:

Code Auswählen Erweitern

hostname:8083/fhem?cmd=list%20TYPE=MQTT2_DEVICE&fwcsrf=csrf_196525024154371
dann shutdown restart in die FHEM Kommandozeile und zack kommt: Diese Seite hat einen Fehler - nach dem Neustart und wie beschrieben den Fehler.

Code Auswählen Erweitern

2019.10.24 15:34:40 3: FHEMWEB WEB CSRF error: csrf_196525024154371 ne csrf_929924752869341 for client WEB_192.168.56.55_2869 / command list TYPE=MQTT2_DEVICE. For details see the csrfToken FHEMWEB attribute.
Wenn es bei Dir an andere Stelle und häufiger ist??? ?

Aber was mir gerade auffällt: Du hast den cmdalias mit Systembefehle ? In der Art?

Code Auswählen Erweitern

defmod Systembefehle weblink cmdList Restart:Restart-Fhem:shutdown+restart Restart:Restart-System:reboot Update:Update-Check:update+check Update:Update-Now:update Shutdown:Shutdown-System:halt

da ist das quasi zu erwarten

Gruß Otto

[D3ltorohd]

Ja das kann sein, das ist ein Style, da war das mit dem Update, Restart usw mit eingebaut. Aber woher weißt du das ich das so habe ? Hab ich das gepostet ?

Dann kommt der Fehler daher ? Also müsste man da was ändern, weil hier eben diese Befehle geschickt werden über http ?

Jetzt hab ich auf jeden Fall mehr verstanden im Wiki !! Liest sich gut.

Indem Fall kommt, das auch durch Refresh drücken nach einem Restart, das mache ich meistens so.

[Otto123]

Deine Fehlermeldung:

2019.10.24 12:08:13 3: FHEMWEB WEB CSRF error: csrf_104345683644172 ne csrf_148832911104462 for client WEB_192.168.178.20_54197 / command shutdown restart. For details see the csrfToken FHEMWEB attribute.

Ich habe bei meiner Fehlermeldung etwas ähnliches gesehen:

2019.10.24 15:34:40 3: FHEMWEB WEB CSRF error: csrf_196525024154371 ne csrf_929924752869341 for client WEB_192.168.56.55_2869 / command list TYPE=MQTT2_DEVICE. For details see the csrfToken FHEMWEB attribute.

Wenn man shutdown restart (habe ich ja auf der Seite gemacht) kommt nicht das man shutdown gemacht hat.

[D3ltorohd]

Ok, dann weiß ich aber wohl jetzt wo die Meldung her kommt und ist so nicht weiter tragisch, die Befehle funktionieren, somit sollte das für mich erst mal erledigt sein. Vielen Dank !!

[Otto123]

Indem Fall kommt, das auch durch Refresh drücken nach einem Restart, das mache ich meistens so.

Ich habe mir angewöhnt genau das nicht zu machen sondern auf das FHEM Symbol zu klicken, da ist alles gut.

Das mit refresh im Browser kann nämlich auch in Hose gehen: Du tippst backup ein und der Browser wiederholt den Befehl oder so