Paperless-NGX "CSRF-Verifizierung fehlgeschlagen. Anfrage abgebrochen. Verboten 403"

Hallo Leute,

ich hab mich da bisschen eingelesen aber habe immer noch den Fehler das wenn ich mich auf Paperless anmelden möchte mit DDNS (über die locale ip funkoniert es) das bei mir der Fehler kommt.

-----------------------------------------------------------------------------

Verboten (403)​

CSRF-Verifizierung fehlgeschlagen. Anfrage abgebrochen.
-----------------------------------------------------------------------------

Was ich aber nicht verstehe hab die URL sicher richtig denn bei mir kommt ja das Anmeldefenster zum anmelden für Paperless.

Meine env Datei sieht so aus:

-The UID and GID of the user used to run paperless in the container. Set this
-to your UID and GID on the host so that you have write access to the
-consumption directory.
USERMAP_UID=1026
USERMAP_GID=100

-Additional languages to install for text recognition, separated by a
-whitespace. Note that this is
-different from PAPERLESS_OCR_LANGUAGE (default=eng), which defines the
-language used for OCR.
-The container installs English, German, Italian, Spanish and French by default.
-See ht tps://packages.debian.org/search?keywords=tesseract-ocr-&searchon=names&suite=buster
-for available languages.
PAPERLESS_OCR_LANGUAGES=eng+slk

###################################################################
-Paperless-specific settings 
###############

-All settings defined in the paperless.conf.example can be used here. The
-Docker setup does not use the configuration file.
-few commonly adjusted settings are provided below.

-Adjust this key if you plan to make paperless available publicly. It should
-be a very long sequence of random characters. You don't need to remember it.
PAPERLESS_SECRET_KEY=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

-This is required if you will be exposing Paperless-ngx on a public domain
-if doing so please consider security measures such as reverse proxy)
PAPERLESS_URL=ht tps://paperless.xxxxx.synology.me

-Use this variable to set a timezone for the Paperless Docker containers. If not specified, defaults to UTC.
PAPERLESS_TIME_ZONE=Europe/Berlin

-The default language to use for OCR. Set this to the language most of your
-documents are written in.
PAPERLESS_OCR_LANGUAGE=deu

-Set if accessing paperless via a domain subpath e.g. ht tps://domain.com/PATHPREFIX and using a -reverse-proxy like traefik or nginx
#PAPERLESS_FORCE_SCRIPT_NAME=/PATHPREFIX
#PAPERLESS_STATIC_URL=/PATHPREFIX/static/ # trailing slash required

-Recursive parsing of consumption directory
PAPERLESS_CONSUMER_RECURSIVE=true
PAPERLESS_CONSUMER_SUBDIRS_AS_TAGS=true

-OCR Mode
PAPERLESS_OCR_MODE=skip
PAPERLESS_OCR_DESKEW=true
PAPERLESS_OCR_ROTATE_PAGES=true

-Search for updates automatically
PAPERLESS_ENABLE_UPDATE_CHECK=true

-Filename handling
PAPERLESS_FILENAME_FORMAT={titel}

Hier ein Bild von meinem Proxy Server

Hier die docker-compose.yml Datei

version: "3.4"
services:
broker:
image: docker.i o/library/redis:7
restart: unless-stopped
volumes:
- /volume1/docker/paperless-ngx/redisdata:/data

webserver:
image: ghcr.i o/paperless-ngx/paperless-ngx:latest
restart: unless-stopped
depends_on:
- broker
ports:
- 8780:8780
healthcheck:
test: ["CMD", "curl", "-fs", "-S", "--max-time", "2", "ht tp://localhost:8000"]
interval: 30s
timeout: 10s
retries: 5
volumes:
- /volume1/docker/paperless-ngx/data:/usr/src/paperless/data
- /volume1/docker/paperless-ngx/media:/usr/src/paperless/media
- /volume1/docker/paperless-ngx/export:/usr/src/paperless/export
- /volume1/docker/paperless-ngx/consume:/usr/src/paperless/consume
environment:
PAPERLESS_REDIS: redis://broker:6379
PAPERLESS_SECRET_KEY: super11geheim
PAPERLESS_ADMIN_USER: admin
PAPERLESS_ADMIN_PASSWORD: 123456
PAPERLESS_OCR_LANGUAGE: deu+eng
PAPERLESS_CONSUMER_DELETE_DUPLICATES: true
PAPERLESS_TIKA_ENABLED: 1
PAPERLESS_TIKA_GOTENBERG_ENDPOINT: ht tp ://gotenberg:3000
PAPERLESS_TIKA_ENDPOINT: ht tp://tika:9998
USERMAP_UID: 0
USERMAP_GID: 0

gotenberg:
image: docker. i o/gotenberg/gotenberg:8
restart: unless-stopped
command:
- "gotenberg"
- "--chromium-disable-javascript=true"
- "--chromium-allow-list=file:///tmp/.*"

tika:
image: ghcr. i o/paperless-ngx/tika:latest
restart: unless-stopped

volumes:
data:
media:
redisdata:

Hat jemand eine Idee warum es bei mir nicht geht?? ich weiß es nicht…

Ich habe deine Ausgaben mal in Code-Blöcke gepackt. Sonst ist das echt schwer lesbar.

Sonst würde ich sagen, das Problem liegt hier:

Da ist ein Leerzeichen, wo keins sein sollte.

…

Natürlich ist da kein Leerzeichen… musste das nur machen weil beim erstellen von dem Beitrag der Fehler kam das ich nicht zu viele Links verwenden darf…

PAPERLESS_URL=https://paperless.xxxxx.synology.me

so schaut es bei mir natürlich aus

Hi,

Schreib mal den passenden https Port hinter synology.me:1234 (1234 = Beispiel)

Das stand aber nicht in deinem Beitrag

Ich kann das Bild mit dem Proxy nicht erkennen, weil es zu klein ist.
Sollte der Port aber ein anderer sein als 443 (sehr wahrscheinlich ist das so, weil der 443 vermutlich schon gebunden ist), muss der Port dazu. Danke @Jake!

2024-07-12_13h20_081912×966 105 KB

also ein mal bei dem Proxy Hostname den Port reinschreiben und in die ylm Datei?

Hi,

In die yml muss bei dir der Port 8780:8000 stehen
In der ENV:
PAPERLESS_URL: https…synology.me:443
PAPERLESS_CSRF_TRUSTED_ORIGINS: https…synology.me:443

Der Port 443 muss in deinem Router auf die IP der Synology freigeschalten sein.

Dann sollte der externe Zugriff eigentlich funktionieren.

So Leute habe es so gemacht nur es geht immer noch nicht…

hier noch mal alle Infos

.env Datei

docker-compose.env

Screenshot 2024-07-13 1412241099×869 36.8 KB

docker-compose.yml

Screenshot 2024-07-13 141313766×832 39.4 KB

Reverse Proxy Server

Screenshot 2024-07-13 141334565×535 16.2 KB

Freigabe auf meiner Fritbox das ist halt die Freigabe mit der ich auch über das Internet mit DDNS auf meine Bilder ich Daten zugreife hab ja jetzt kein extra Port gemacht weil das sollte ja der gleiche sein

Screenshot 2024-07-13 141840705×823 16.2 KB

Wenn jemand eine Idee hat dann bitte her damit denn ich versteh es nicht mehr

Hab bei dir den folgenden Parameter in der env nicht gefunden:

PAPERLESS_CSRF_TRUSTED_ORIGINS: https… synology.me:443

Trag den mal ein und starte Paperless neu.

nein geht immer noch nicht…

Nur das wir uns richtig verstehen, du musst den Container neu starten, nicht den Browser

Ja ich fahr den mit sudo docker-compose down ganz runter und starten ih dann neu

Mein Akueller fehler wenn in ich der Console nachschaue wenn ich mit anmelden möchte sowohl mit dem admin acc als auch mit meinem Privaten acc

paperless-webserver-1 | [2024-07-13 16:24:20,011] [WARNING] [django.security.csrf] Forbidden (Origin checking failed - https://paperless.xxxxx.synology.me does not match any trusted origins.): /accounts/login/

Hast du in der Synology die Firewall aktiviert?
Wenn ja, ist dort der Port 443 freigegeben?

Screenshot 2024-07-13 1828251163×638 31.7 KB

so ist das so richtig?

yep, passt!
kannst zum testen die Firewall auch mal kpl deaktivieren. Nur zum Fehler eingrenzen.

Nein es geht selbt dann nicht mit deaktivierter Firewall…

Mein Akueller fehler wenn in ich der Console nachschaue wenn ich mit anmelden möchte sowohl mit dem admin acc als auch mit meinem Privaten acc

paperless-webserver-1 | [2024-07-13 16:24:20,011] [WARNING] [django.security.csrf] Forbidden (Origin checking failed - https://paperless.xxxxx.synology.me does not match any trusted origins.): /accounts/login/

Hmm,
hast du wirklich an beiden Parametern hinter synology.me den Port :443 drangehängt??

und trag mal im Reverse Proxy bei Ziel > Hostname: localhost ein

Edit: Teste mal anderen Browser, Brave auf dem Ipad ist ok, Edge ist OK, Brave mit Windoof keine Verbindung.

Nein hab überall :443 hingeschrieben aber es geht immer noch nicht…

abe wie gesagt das loginfenster kommt ja nur passt was mit der Anmeldung nicht

paperless-webserver-1 | [2024-07-13 16:24:20,011] [WARNING] [django.security.csrf] Forbidden (Origin checking failed - https://paperless.xxxxx.synology.me does not match any trusted origins.): /accounts/login/

mit dem Fehler kann ich wenig anfangen. Gibt es einen Befehl um das ganze zu Aktualisieren?

Gibt es sicher, mit Sudo hab ich nix am Hut, ist mir zu umständlich.
Evtl meldet sich Stefan noch, der kennt sich da besser aus.

Notfalls mal die Synology neu starten, dann werden auch alle Container neu gestartet.

ja wäre cool wenn ich @Stefan melden könnte

also wenn ich mich mit mit der localen ip anmelde (http://192.168.178.72:8877/dashboard) geht es aber mit der DDNS geht es nicht also kann es ja nur was mit dem Reserve Proxy liegen oder mit der Freigabe auf meiner Fritzbox…

aber den den Reserve Proxy kann es doch auch nicht liegen da über die DDNS das Anmeldefenster von Paperless kommt… also dann doch die Portweiterleitung.

Screenshot 2024-07-13 141334565×535 16.2 KB

Screenshot 2024-07-13 1828251163×638 31.7 KB

nur das passt doch wie es ist oder??

Screenshot 2024-07-13 141840705×823 16.2 KB

und in meiner Fritzbox habe ich doch auch den Port freigegeben das sollte doch auch richtig sein…