Bonjour,
je rencontre le problème de jeton CSRF qui au début n'était pas évident à reproduire.

J'avais comme navigateur par défaut Firefox.
Lorsque je testait mes questionnaires avant activation, ou après activation, avec ou sans invitations, pas de PB !

Par contre, j'ai eu une mise à jour qui a remis comme navigateur par défaut Internet Explorer.



Voici les différents scénarios pour reproduire cette erreur :

Pré-requis : un questionnaire avec une table d'invitation (et des invités lol ).



1. IE avec un Onglet différent de LimeSurvey

Si Internet Explorer est lancé avec un premier onglet autre qu'une page de limesurvey, les tests fonctionnent (clic sur le lien reçu dans l'invitation --> ouverture d'un nouvel onglet.)

2. IE avec un Onglet avec LimeSurvey

Si vous avez ouvert un onglet en allant sur un questionnaire / ou interface d'administration , le fait d'utiliser le lien pour participer à un questionnaire ouvre un nouvel onglet. Si on commence à répondre au questionnaire, on aura le message d'erreur CSRF.

Il faudra fermer IE, puis le lancer de nouveau avec AUCUN onglet en lien avec limesurvey, avant de cliquer sur le lien reçu dans l'invitation.


3. IE en navigateur par défaut - PAS OUVERT

Si vous cliquez sur le lien reçu par invitation, IE va s'ouvrir et lorsqu'on commencera a remplir le questionnaire, on aura le message d'erreur.


Testés sur les versions suivantes :
2.62.2+170203 --> KO
2.73.1+171220 --> KO
2.64.3+170327 --> KO

Version 3.9.0+180604 --> no mail send

Pour la V3, je viens de réaliser une installation neuve (pas de reprise d'ancienne données ni de BDD --> neuve quoi )

--> Impossible d'envoyer des mails, alors que c'est le même serveur qui héberge la V2.62 et le même serveur de mail (MailHog).


@Denis : merci pour l'information, il s'agit de la session (PHPSESSID) qui doit être ouverte par IE lors de son lancement.

J'ai rajouté le paramètre, mais pas de changement pour IE (en tout cas je peux ouvrir plusieurs versions dans le même navigateur )

'session' => array(
'sessionName' => "Dev",
),

Je rajoute le questionnaire qui m'a permis de faire les tests (il est très simple).

@ tous : Pourriez-vous tester pour que je puisse reporter le bug ? (si je suis pas un cas isolé )

J'ai du désactiver la gestion des CSRF dans le fichier de config pour permet aux personnes de répondre.

Il y a deux pièces jointes :

Un document Word avec les captures d'écrans de chaque version
Un fichier .lss qui contient le questionnaire.


Ca va être coton la traduction en anglais pour le bugtracker :woohoo:

Pour la V3 - voir le sujet sur l'erreur d'email : l'email de l'admin est vide.

Après avoir modifié, j'ai le même problème avec la v3 et IE.

merci pour ce rapport détaillé.
un rapport de bug aurait été parfait

riqcles wrote: …
@Denis : merci pour l'information, il s'agit de la session (PHPSESSID) qui doit être ouverte par IE lors de son lancement.

J'ai rajouté le paramètre, mais pas de changement pour IE (en tout cas je peux ouvrir plusieurs versions dans le même navigateur )

'session' => array(
'sessionName' => "Dev",
),

Je rajoute le questionnaire qui m'a permis de faire les tests (il est très simple).
…

Zut,
Je pensais sincérement que cela pouvait être cela, puisque cela l'avait corrigé sur une autre installation …

Mais c'était pas particulièrement avec un onglet LimeSurvey, en fait c'était IE ouvert : bogue …

Comme je n'ai pas pris le temps de récupérer et d'installer un windows virtuel … pas rapporté le bug

Pas de problème, je vais faire le bug (maintenant que je le maitrise lol), je me demandais si ce n'était que moi.

Ce soir

Le bug est soumis :
bugs.limesurvey.org/view.php?id=13761

merci beaucoup, ça nous mâche vraiment bien le travail.

@riqcles : Tammo semble dire que c'est bien lié à l'ajax. Pourrais tu le confirmer ?

Bonjour, je n'avais pas reçu de notification de l'avancé sur le forum (ni sur le bug tracker)

Dis moi ce que tu veux que je fasse et je le ferais ce soir.

N.B : j'ai essayé d'ajouter le plugin du bugtracker dans le répertoire plugin, mais cela ne fonctionne pas (il n'apparait pas dans ma liste de plugin (j'ai mis apache en propriétaire et 777 pour les droits, redémarré le serveur et rien) !

riqcles wrote: …
N.B : j'ai essayé d'ajouter le plugin du bugtracker dans le répertoire plugin, mais cela ne fonctionne pas (il n'apparait pas dans ma liste de plugin (j'ai mis apache en propriétaire et 777 pour les droits, redémarré le serveur et rien) !

Ah zutre …

ca donne quoi dans plugins ? Tu as bien plugin/sessionNameBySurvey/sessionNameBySurvey.php ?

Bon, de toutes façon, je crains que cela ne fonctionne pas … Ca reste intéressant pour avoir des sessions plus petites mais :
1. La prévisu ne fonctionne plus (normal : pas la même session) : corrigeable
2. Le CRSF est dans les cookies pas dans la session. Il faudrait modifier les paramètres du cookies en fonctions du questionnaire, mais il est créé avant l‘appels de plugins (et même en modifiant le cœur : je vois pas trop ou intervenir …), sans doute surcharger la fonction de Yii …

J'ai essayé un autre plugin : arrayTextAdapt
il est bien visible dans la liste.

L'autre plugin doit apparaitre ?

J'ai modifié le fichier config.php

'session' => array (
'autoStart' => false,
'sessionName' => "LimeSurvey",
),

Pas mieux comme tu avais prévu.