[TYPO3-german] RealUrl speichert dynamische Urls

[Michael Kasten]

Hallo Stephan,

danke für die Hinweise, ich habe ja gar nicht verlangt, das sich Jemand für mich auf die Suche macht
:) Du hast mir schon jetzt gute Hinweise gegeben.

Dankeschön


Am 18.07.2017 um 11:19 schrieb Stephan Schuler:
> Hallo Michael.
> 
> Eigentlich solltest Du überhaupt keine URLs mit erfundenen Parametern von außen erzeugen können. Genau das soll der „cHash“-Parameter verhindern.
> https://typo3.org/documentation/article/the-mysteries-of-chash-1
> 
>> Original Url
>> L=0&amp%3BcHash=4013b9475a5df7a5d3caa44303718a9e&cHash=96026b6c8e39585ba626c97494eb8051&id=1&m=about
>>
>> Sprechende Url
>> ?amp%3BcHash=4013b9475a5df7a5d3caa44303718a9e&m=about&cHash=96026b6c8e39585ba626c97494eb8051
> 
> Das verstehe ich nicht. Warum hat schon Deine Original-URL zwei cHash-Parameter? Und warum sind schon in Deiner Original-URL einmal Parameter durch &amp%3B getrennt und einmal durch &? Ich nehme an, dass der erste cHash (4013) nicht erkannt wird sondern dass der Parameter als „&cHash“ statt „cHash“ bei TYPO3 ankommt, weil ja innerhalb des Wertes das URL-Encoding des &-Parameters passiert. Bring mal in Erfahrung warum das so ist, also welcher innerhalb Deiner Seite solche URLs erzeugt. Das könnte schon der Grund sein, weshalb die Berechnung bei Dir kaputt ist.
> 
> Was Dein konkretes Setting betrifft müsste ich mich in die TYPO3-Config, die RealURL-Config und in Dein TypoScript vertiefen, um Dir exakt benennen zu können, ob Du einen Fehler gemacht hast oder einen Bug in TYPO3 oder RealURL gefunden hast. Leider fehlt mir dazu etwas die Zeit.
> 
> Deshalb nachfolgend nur grob skitziert wie die Sache zu laufen hat.
> 
> Einerseits gibt es das Setting „pageNotFoundOnCHashError“. Das ist hoffentlich TRUE, damit jeder Seitenaufruf mit ungültigen Parametern dem Webeseitenbesucher die 404-Seite ausliefert. Es gibt häufiger Diskussionen ob das nicht anders geht, und ob man nicht einfach unbekannte Parameter ignorieren kann. Allerdings sehe ich da keinen weiteren Nutzen. Kein Mensch rät GET-Parameter oder macht Tippfehler innerhalb von Parametern. Alles was Menschen von Hand tippen hat bitte keine GET-Paramter mehr sondern ist schön weggemappt. Damit ist jeder überzählige GET-Parameter entweder ein versuchter Angriff oder ein Bot. Beides ist nichts wofür man seiner Seite extra Toleranz beibringen müsste.
> 
> Andererseits kannst Du mit den Settings „cHashExcludedParameters“ diejenigen GET-Parameter benennen, die nicht in den cHash aufgenommen werden sollen, selbst wenn TYPO3 sie erzeugt.
> Das sind in der Regel solche Parameter, die nur von Plugins verwendet werden die ohnehin keinen TYPO3-Page-Cache verwenden können. Suchen zum Beispiel. Egal ob Du Solr oder indexed_search verwendest,  pack den Parameter „q“ in die Liste und fertig.
> Und das sind solche Parameter, von denen wir wissen, dass sie manchmal von außen angehängt werden. Die Gruppe aus utm_source, utm_campaign und utm_term zum Beispiel.
> 
> An der Stelle spielt dann irgendein „sie sind hier“-Button eine Rolle. Den würde ich niemals über addQueryString bauen. Das ist ein super Einfallstor, einen GET-Parameter ins System zu bringen den man eigentlich gar nicht haben will. Zumal der dann ja auch per cHash abgesichert als gültig vermerkt wird.
> 
> Und der dritte Aspekt meiner Fehlersuche wäre: Hast Du überhaupt GET-Parameter die veröffentlicht werden? Wen ich Deine Beispiel-URLs richtig interpretiere, dürften ja eigentlich *alle* GET-Parameter die von außen kommen zu ignorieren sein weil Du alles anständig in Mappins untergebracht hast, oder? Wenn nicht würde ich das so machen, zumal es recht wenig Aufwand ist.
> 
> Beste Grüße,
> 
> 
> Stephan Schuler
> Web-Entwickler | netlogix Web Solutions
> 
> Telefon: +49 (911) 539909 - 0
> E-Mail: Stephan.Schuler at netlogix.de
> Web: websolutions.netlogix.de
> 
> 
> 
> ----------------------------
> Neu: Wir sind Amazon Web Services Partner. Mehr erfahren:
> https://websolutions.netlogix.de/technologie/amazon-web-services-aws
> ----------------------------
> 
> 
> 
> 
> netlogix GmbH & Co. KG
> IT-Services | IT-Training | Web Solutions
> Neuwieder Straße 10 | 90411 Nürnberg
> Telefon: +49 (911) 539909 - 0 | Fax: +49 (911) 539909 - 99
> E-Mail: info at netlogix.de | Web: http://www.netlogix.de
> 
> netlogix GmbH & Co. KG ist eingetragen am Amtsgericht Nürnberg (HRA 13338)
> Persönlich haftende Gesellschafterin: netlogix Verwaltungs GmbH (HRB 20634)
> Umsatzsteuer-Identifikationsnummer: DE 233472254
> Geschäftsführer: Matthias Schmidt
> 
> 
> 
> _______________________________________________
> TYPO3-german mailing list
> TYPO3-german at lists.typo3.org
> http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
> 

-- 
Michael Kasten | http://m-kasten.de
Im wirklichen Leben gibt es kein [Strg]+[Z]