Zammad hinter Zoraxy: CSRF-Token-Probleme lösen

Problem

Beim Zugriff auf ein Zammad-System über den Reverse Proxy Zoraxy kam es zu folgender Fehlermeldung:

{"error":"CSRF token verification failed!","error_human":"CSRF token verification failed!"}

Zammad blockierte POST-/PUT-Anfragen, da kein gültiges CSRF-Token erkannt wurde.

Ursache

Rails-basierte Systeme wie Zammad schützen sich gegen CSRF (Cross-Site Request Forgery). Damit das funktioniert, muss Zammad wissen, ob die Verbindung über HTTPS erfolgt. Wenn hinter einem Reverse Proxy wie Zoraxy der Header X-Forwarded-Proto fehlt oder falsch gesetzt ist, denkt Zammad, die Verbindung sei unsicher (HTTP):

Secure-Cookies werden nicht gesetzt → Session geht verloren
CSRF-Token wird nicht akzeptiert → Aktionen scheitern

Lösung

In der Zoraxy-Oberfläche wurde ein benutzerdefinierter Header gesetzt, um Zammad das HTTPS-Protokoll korrekt mitzuteilen.

Schritte in Zoraxy

Reverse Proxy für support.example.de öffnen
Reiter Custom Headers auswählen
Im Abschnitt Zoraxy → Origin folgenden Header hinzufügen:
- Header Key: X-Forwarded-Proto
- Header Value: https
Mit „Add Header“ speichern
Einstellungen übernehmen und ggf. Zoraxy neu starten

Optional: Weitere hilfreiche Header

Header Key	Value	Hinweis
X-Forwarded-Proto	https	Pflicht für CSRF und Cookies
X-Forwarded-Ssl	on	Optional, für bessere Kompat.
X-Real-IP	(auto)	Optional, für Logging

Ergebnis

Nach dem Setzen des Headers erkennt Zammad wieder korrekt:

Die Verbindung ist über HTTPS
Secure-Cookies werden korrekt gesetzt
CSRF-Token-Prüfungen funktionieren wieder

Anmeldung über den Browser ist nun problemlos möglich.

Tipp:
Wenn weitere Dienste hinter Zoraxy laufen (z. B. GitLab, Nextcloud), lohnt es sich, diesen Header standardmäßig in den jeweiligen Reverse-Proxy-Konfigurationen zu setzen.