Navigation
Unterseiten-Navigation
Navigations-Modul mit der Klasse subnav
Navigations-Modul mit der Klasse subnav
Wir setzen Cookies und ähnliche Technologien auf unserer Website ein, um Informationen auf Deinem Endgerät zu speichern, auszulesen und weiterzuverarbeiten. Dadurch verbessern wir Dein Erlebnis, zeigen Dir Inhalte, die für Dich interessant sind.
Wenn Du „Nur erforderliche“ wählst, akzeptierst Du nur Cookies, die zum richtigen Funktionieren unserer Website nötig sind. „Alle akzeptieren“ bedeutet, dass Du den Zugriff auf Informationen auf Deinem Endgerät und die Verwendung aller Cookies zur Analyse erlaubst. Deine Daten könnten dann in Länder außerhalb der Europäischen Union übermittelt werden, wo wir kein Datenschutzniveau garantieren können, das dem der EU entspricht (siehe Art. 49 (1) a DSGVO). Unter „Einstellungen“ kannst Du alles im Detail festlegen und Deine Einwilligung jederzeit ändern.
Essenzielle Cookies ermöglichen grundlegende Funktionen und sind für die einwandfreie Funktion der Website erforderlich.
Schützt vor Cross-Site-Request-Forgery Angriffen.
Ein CSRF-Token (Cross-Site Request Forgery Token) ist ein Sicherheitsmechanismus, um sogenannte Cross-Site Request Forgery-Angriffe zu verhindern.
Dabei wird ein Benutzer, der bereits eingeloggt ist oder eine gültige Session besitzt, dazu gebracht, ungewollte Aktionen auf einer Website auszuführen – z. B. durch manipulierte Links oder versteckte Formulare.
Das CSRF-Token dient als zusätzlicher "geheimer Schlüssel", der jeder Anfrage beigelegt wird. Da ein Angreifer diesen Schlüssel nicht kennt, lassen sich unautorisierte Aktionen blockieren.
Contao nutzt ein spezielles HTTPS CSRF Token, um genau solche Angriffe zu verhindern.
Sessiongebunden
Das Token wird beim Aufbau einer Session generiert.
Es ist individuell pro Benutzer und Session.
Über HTTPS abgesichert
Das Token ist nur bei verschlüsselten Verbindungen sinnvoll, da es sonst abgefangen werden könnte.
Contao setzt es daher standardmäßig nur ein, wenn die Seite über HTTPS läuft.
Gültigkeitsprüfung
Bei jeder sicherheitsrelevanten Anfrage (z. B. Formular-POST, Backend-Operationen, AJAX-Requests) wird geprüft, ob das Token vorhanden und korrekt ist.
Fehlt es oder ist es falsch, wird die Anfrage abgewiesen.
Automatisches Einfügen
Contao integriert das Token automatisch in:
Formulare (<input type="hidden" name="REQUEST_TOKEN">)
URLs bei bestimmten Links (z. B. Backend-Operationen)
Entwickler müssen sich in den meisten Fällen nicht selbst darum kümmern.
Generierung
Beim ersten Aufruf einer HTTPS-Session erstellt Contao ein eindeutiges Token.
Dieses wird in der PHP-Session gespeichert und gleichzeitig im Browser (z. B. als Hidden-Field in Formularen) ausgegeben.
Verwendung
Der Nutzer schickt das Token bei jeder Anfrage zurück an den Server.
Der Server vergleicht das übermittelte Token mit dem in der Session gespeicherten.
Validierung
Stimmen die Werte überein → Anfrage wird akzeptiert.
Stimmen sie nicht überein oder fehlt das Token → Anfrage wird blockiert, um CSRF zu verhindern.
Das Contao HTTPS CSRF Token ist ein sicherheitskritisches Feature, das automatisch in allen sicherheitsrelevanten Anfragen eingebaut wird. Es schützt Benutzer und das System vor ungewollten Aktionen durch Angreifer, indem es jede Anfrage mit einem eindeutigen, sessiongebundenen Schlüssel absichert.
Speichert die aktuelle PHP-Session.
Eine PHP Session ID ist ein eindeutiger Kennzeichner, den PHP verwendet, um eine Session zwischen Server und Browser zu identifizieren.
Ohne Session-ID könnte der Server nicht erkennen, zu welchem Benutzer bestimmte Daten gehören.
In Contao werden Sessions für Backend (z. B. eingeloggte Benutzer) und Frontend (z. B. geschützte Bereiche, Formulare, Shopfunktionen) genutzt.
Generierung
Beim Start einer Session erzeugt PHP eine eindeutige Session-ID (z. B. e5a1f8b7c92a3c1d8f0f47d7d3b4a9b5).
Diese ID ist zufällig und schwer vorhersagbar.
Übermittlung
Die Session-ID wird im Normalfall als Cookie (PHPSESSID) an den Browser gesendet.
Alternativ kann sie (nur wenn aktiviert, aber unsicher) auch per URL-Parameter übertragen werden – in Contao ist diese Variante standardmäßig deaktiviert.
Verwendung in Contao
Contao speichert Benutzerdaten (z. B. Login-Status, CSRF-Token, Formularwerte) in der Session.
Bei jeder Anfrage übermittelt der Browser die Session-ID im Cookie, sodass Contao die Daten der richtigen Session zuordnen kann.
Validierung
Contao prüft die Session-ID und stellt sicher, dass sie gültig ist.
Wenn die ID fehlt oder nicht passt, wird eine neue Session erzeugt.
Sicherheitsmaßnahmen:
Verwendung von Cookie-only Sessions (kein URL-Parameter).
Unterstützung von Secure Cookies (nur über HTTPS).
Unterstützung von HttpOnly Cookies (nicht via JavaScript auslesbar).
Session-Regeneration nach erfolgreichem Login (verhindert Session Hijacking).
Arten von Sessions in Contao:
FE_SESSION_ID → für Frontend-Benutzer.
BE_SESSION_ID → für Backend-Benutzer.
Beide basieren auf der PHP Session ID, sind aber voneinander getrennt.
Die Session-ID darf niemals in der URL sichtbar sein → sonst riskanter Session Hijacking.
Sie sollte immer per Cookie und über HTTPS übertragen werden.
Nach Login oder sensiblen Aktionen: Session regenerieren, um Fixation-Angriffe zu vermeiden.
Contao übernimmt diese Schutzmechanismen standardmäßig.
Die PHP Session ID ist in Contao der Schlüssel zur Wiedererkennung eines Benutzers zwischen verschiedenen Requests. Sie wird als Cookie verwaltet, dient als Basis für Login-Sessions, CSRF-Schutz und Benutzerinteraktionen und ist durch verschiedene Sicherheitsmechanismen geschützt.