Hallo

Wenn Du auf der Seite bist, auf der Du um Bestätigung zum Löschen aufgefordert wirst, und dort in den Quellcode schaust: Existiert dort ein verstecktes Feld mit dem Token?

Hmm, ich weiß ja nicht, welchen Commit-Stand du da verlinkt hast, aber in keiner der 2.4.x-Versionen vor 2.4.99.1, deren Stand ich per umschalten zwischen den Tags (Umschalter befindet sich im Screenshot links vor dem Pfad) geprüft habe, gibt es in posting_delete.inc.tpl dieses Feld. In der fraglichen Version 2.4.24 ist es also nicht vorhanden. In der Skript-Datei posting.inc.php ist ein CSRF-Token bei $action == 'delete_posting' auch nicht erforderlich. Das hat sich erst mit Version 2.4.99.1 geändert.

Erst bei $action == 'delete_posting_confirmed' wird ein CSRF-Token eingefordert, den es, wie schon gesagt im Template posting_delete.inc.tpl der Version 2.4.24 nicht gibt.

Da ich in dem Forum auf meiner Seite immer noch die Version 2.4.24 einsetze, habe ich mal danach gesucht. Stellt sich heraus, ich weiß nicht, wie ich ein Posting so zum löschen "vorschlage", dass ich eine Seite mit dem Template posting_delete.inc.tpl zu sehen bekomme. Wenn ich ein Posting in der Einzel- oder Threadansicht öffne und es über den Link in den Management-Funktionen unterhalb des Postings löschen will, wird mir ein JS-Modaldialog (Sind sie sich sicher … bla bla bla …) angezeigt. Wenn ich es über das Kreuz hinter dem Betreff im Threadbaum löschen will, wird mir ebenfalls dieser JS-Modaldialog angezeigt. Wenn ich Postings im Threadbaum markiere und diese löschen will, wird das Template posting_delete_marked.inc.tpl angezeigt. Gehe ich über den Weg, ein Posting als Spam zu klassifizieren (alter Weg ohne B8-Training), wird posting_delete.inc.php auch nicht benutzt. Bin ich zu doof oder wird das Template vielleicht überhaupt nicht benutzt?

Tschö, Auge