{"id":7638,"date":"2024-06-13T16:27:49","date_gmt":"2024-06-13T14:27:49","guid":{"rendered":"https:\/\/churchtools.academy\/?post_type=docs&#038;p=7638"},"modified":"2025-08-28T10:33:30","modified_gmt":"2025-08-28T09:33:30","password":"","slug":"csrf-prevention","status":"publish","type":"docs","link":"https:\/\/churchtools.academy\/de\/help\/system-einstellungen\/allgemein-datenschutz-sicherheit\/csrf-prevention\/","title":{"rendered":"CSRF-Prevention"},"content":{"rendered":"\n<aside class=\"wp-block-group ct-box ct-box-blue has-background is-vertical is-layout-flex wp-container-core-group-is-layout-002f1c27 wp-block-group-is-layout-flex\" style=\"border-radius:8px;border-left-color:#3e70ce;border-left-width:0.5rem;background-color:#f3f5f7;margin-top:var(--wp--preset--spacing--60);margin-bottom:var(--wp--preset--spacing--60)\">\n<p style=\"margin-top:0.5rem;margin-right:0.5rem;margin-bottom:0rem;margin-left:0.5rem\"><strong>Hinweis<\/strong><\/p>\n\n\n\n<p style=\"margin-top:0rem;margin-right:0.5rem;margin-bottom:0.5rem;margin-left:0.5rem\">Relevant f\u00fcr alle, die die alte ChurchTools API nutzen.<\/p>\n<\/aside>\n\n\n\n<p>CSRF steht f\u00fcr <a href=\"https:\/\/developer.mozilla.org\/en-US\/docs\/Glossary\/CSRF\">Cross-Site-Request-Forgery<\/a> und beschreibt eine Attacke, in der man&nbsp;\u00fcber einen Benutzer ungewollte Aktionen ausl\u00f6st, um deren Rechte zu missbrauchen. Damit ChurchTools nicht anf\u00e4llig f\u00fcr CSRF-Attacken ist, haben wir einen CSRF-Token eingef\u00fchrt. Dieser muss bei allen alten API-Aufrufen als Header mitgeschickt werden. Genauer gesagt betrifft das alle <em>POST-Requests<\/em>, die den Content-Type application\/x-www-form-urlencoded oder <code>multipart\/form-data<\/code> gesetzt haben. Wie das geht, erkl\u00e4ren wir dir in diesem Artikel.<\/p>\n\n\n\n<p>Nachdem du dich eingeloggt hast, rufst du die API <code>\/api\/csrftoken<\/code> auf, um den Token zu bekommen. Diesen Token sendest du dann bei jedem folgenden API-Request als Header mit. Der Header sieht folgenderma\u00dfen aus:<\/p>\n\n\n\n<p><code>CSRF-Token: $MEIN_TOKEN<\/code><\/p>\n\n\n\n<aside class=\"wp-block-group ct-box ct-box-blue has-text-color has-background has-link-color wp-elements-74648fa9a9506de5179716347194bc98 is-vertical is-layout-flex wp-container-core-group-is-layout-002f1c27 wp-block-group-is-layout-flex\" style=\"border-radius:8px;border-left-color:#e7c000;border-left-width:0.5rem;color:#3f3400;background-color:#ffe5644d;margin-top:var(--wp--preset--spacing--60);margin-bottom:var(--wp--preset--spacing--60)\">\n<p style=\"margin-top:0.5rem;margin-right:0.5rem;margin-bottom:0rem;margin-left:0.5rem\"><strong>Warnung<\/strong><\/p>\n\n\n\n<p style=\"margin-top:0rem;margin-right:0.5rem;margin-bottom:0.5rem;margin-left:0.5rem\">Aktuell l\u00e4sst sich die \u00dcberpr\u00fcfung des CSRF-Tokens noch in den System-Einstellungen deaktivieren. Wir empfehlen dir aber dringend, das nicht zu tun, da es sich hierbei um ein Sicherheitsrisiko handelt. <br><br>Diese Option wird in einer der zuk\u00fcnftigen Versionen entfallen und die \u00dcberpr\u00fcfung des CSRF-Token wird dann immer aktiv sein.<\/p>\n<\/aside>\n\n\n\n<aside class=\"wp-block-group ct-artikel-zum-weiterlesen has-background is-layout-constrained wp-container-core-group-is-layout-89fd719a wp-block-group-is-layout-constrained\" style=\"border-radius:8px;background-color:#f9fafb;margin-top:24px;margin-bottom:24px;padding-top:32px;padding-right:24px;padding-bottom:32px;padding-left:24px\">\n<h4 class=\"wp-block-heading has-medium-font-size\">Artikel zum Weiterlesen<\/h4>\n\n\n\n<ul class=\"wp-block-list\">\n<li><a href=\"https:\/\/churchtools.academy\/de\/help\/system-einstellungen\/api\/0-api\/\" data-type=\"docs\" data-id=\"7251\">\u00dcberblick API<\/a><\/li>\n<\/ul>\n<\/aside>\n","protected":false},"excerpt":{"rendered":"<p>CSRF steht f\u00fcr Cross-Site-Request-Forgery und beschreibt eine Attacke, in der man&nbsp;\u00fcber einen Benutzer ungewollte Aktionen ausl\u00f6st, um deren Rechte zu missbrauchen. Damit ChurchTools nicht anf\u00e4llig f\u00fcr CSRF-Attacken ist, haben wir einen CSRF-Token eingef\u00fchrt. Dieser muss bei allen alten API-Aufrufen als Header mitgeschickt werden. Genauer gesagt betrifft das alle POST-Requests, die den Content-Type application\/x-www-form-urlencoded oder multipart\/form-data [&hellip;]<\/p>\n","protected":false},"author":6,"featured_media":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"_acf_changed":false,"footnotes":""},"doc_category":[412],"doc_tag":[],"knowledge_base":[346],"class_list":["post-7638","docs","type-docs","status-publish","hentry","doc_category-allgemein-datenschutz-sicherheit","knowledge_base-system-einstellungen"],"pp_statuses_selecting_workflow":false,"pp_workflow_action":"current","pp_status_selection":"publish","acf":[],"year_month":"2026-04","word_count":119,"total_views":"2478","reactions":{"happy":"0","normal":"0","sad":"0"},"author_info":{"name":"Jasper Stehmeier","author_nicename":"jstehmeier","author_url":"https:\/\/churchtools.academy\/de\/author\/jstehmeier\/"},"doc_category_info":[{"term_name":"Allgemein","term_url":"https:\/\/churchtools.academy\/de\/help\/system-einstellungen\/allgemein-datenschutz-sicherheit\/"}],"doc_tag_info":[],"knowledge_base_info":[{"term_name":"System-Einstellungen","term_url":"https:\/\/churchtools.academy\/de\/help\/system-einstellungen\/","term_slug":"system-einstellungen"}],"knowledge_base_slug":["system-einstellungen"],"_links":{"self":[{"href":"https:\/\/churchtools.academy\/de\/wp-json\/wp\/v2\/docs\/7638","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/churchtools.academy\/de\/wp-json\/wp\/v2\/docs"}],"about":[{"href":"https:\/\/churchtools.academy\/de\/wp-json\/wp\/v2\/types\/docs"}],"author":[{"embeddable":true,"href":"https:\/\/churchtools.academy\/de\/wp-json\/wp\/v2\/users\/6"}],"replies":[{"embeddable":true,"href":"https:\/\/churchtools.academy\/de\/wp-json\/wp\/v2\/comments?post=7638"}],"version-history":[{"count":5,"href":"https:\/\/churchtools.academy\/de\/wp-json\/wp\/v2\/docs\/7638\/revisions"}],"predecessor-version":[{"id":39034,"href":"https:\/\/churchtools.academy\/de\/wp-json\/wp\/v2\/docs\/7638\/revisions\/39034"}],"wp:attachment":[{"href":"https:\/\/churchtools.academy\/de\/wp-json\/wp\/v2\/media?parent=7638"}],"wp:term":[{"taxonomy":"doc_category","embeddable":true,"href":"https:\/\/churchtools.academy\/de\/wp-json\/wp\/v2\/doc_category?post=7638"},{"taxonomy":"doc_tag","embeddable":true,"href":"https:\/\/churchtools.academy\/de\/wp-json\/wp\/v2\/doc_tag?post=7638"},{"taxonomy":"knowledge_base","embeddable":true,"href":"https:\/\/churchtools.academy\/de\/wp-json\/wp\/v2\/knowledge_base?post=7638"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}