In PrestaShop taucht gelegentlich die Meldung auf:
Token ungültig: Direkter Zugriff auf diesen Link könnte eine Sicherheitslücke schaffen.
Dieser Hinweis erscheint oft zusammen mit einer Abfrage, ob man die Seite trotzdem laden möchte. Viele Shopbetreiber sind zunächst verunsichert, doch in den meisten Fällen ist diese Meldung unkritisch.
Warum erscheint diese Warnung?
PrestaShop verwendet Sicherheitstoken (CSRF-Token), um zu verhindern, dass unbefugte Aktionen über manipulierte Links ausgeführt werden. Die Meldung wird angezeigt, wenn der aufgerufene Link keinen gültigen Token enthält. Häufige Ursachen:
Abgelaufene Sitzung (Session-Timeout) – nach längerer Inaktivität wird der Token ungültig.
Direkter Aufruf aus Bookmarks – gespeicherte Links enthalten oft alte Tokens und sind daher nicht mehr gültig.
Änderung der IP-Adresse – wenn sich die IP während der Session ändert (z. B. durch VPN oder Providerwechsel), kann PrestaShop den Token als ungültig einstufen.
Fehlerhafte Modul-Links – manche Drittanbieter-Module erzeugen Links, die nicht mit aktuellen Tokens versehen sind.
Kopierte Links zwischen Browsern oder Geräten – Tokens sind an die jeweilige Session gebunden.
Ist es gefährlich, die Seite trotzdem anzuzeigen?
In der Regel besteht kein Sicherheitsrisiko, wenn Sie auf den Button „Ja, ich bin mir des Risikos bewusst“ klicken. Diese Bestätigung dient lediglich als zusätzliche Absicherung.
Handelt es sich um einen bekannten, vertrauenswürdigen Link aus dem eigenen Backoffice, ist das Bestätigen unproblematisch.
Vorsicht ist nur geboten, wenn der Link aus einer unsicheren Quelle stammt (z. B. von Dritten per E-Mail).
Was kann man tun, um die Meldung zu vermeiden?
Immer über das Backoffice-Menü navigieren Direktaufrufe aus alten Favoriten oder E-Mails führen häufig zu dieser Warnung.
Neu anmelden und Seite aktualisieren Nach einem Session-Timeout ist ein erneuter Login erforderlich, um ein neues Token zu generieren.
Browser-Cache und Cookies löschen Dies kann veraltete Sitzungsdaten beseitigen.
Auf stabile IP achten Bei häufig wechselnden IP-Adressen (z. B. bei mobilen Verbindungen) kann die Meldung öfter auftreten.
Module prüfen Sollte die Warnung regelmäßig in Verbindung mit einem Modul erscheinen, ist die Token-Implementierung zu überprüfen.
Technischer Hintergrund
Das CSRF-Token ist ein einmaliger Sicherheitsschlüssel, den PrestaShop bei jeder Sitzung generiert.
Es verhindert, dass Aktionen über fremde Webseiten ausgelöst werden.
Ist das Token ungültig oder fehlt, blockiert PrestaShop den Zugriff.
Entwickler sollten bei eigenen Modulen immer die korrekte Token-Generierung und -Überprüfung implementieren.
Fazit
Die Meldung „Token ungültig“ ist in der Regel harmlos und schützt den Shop vor potenziellen Angriffen.
Wenn der Link aus dem eigenen Backoffice stammt, kann die Seite ohne Bedenken über den Button „Ja, ich bin mir des Risikos bewusst“ geöffnet werden.
Bei wiederkehrenden Problemen sollte geprüft werden, ob die Links korrekt generiert werden und ob die eigene Verbindung (IP/Session) stabil ist.
