Invalid CSRF token. since last docker command docker-compose pull

[Irwin0812]

Hello,

Today I ran a docker-compose pull to update my docker koillection.

My server is behind an nginx reverse proxy and authentication was working perfectly until today's pull.

Since then, I have been getting an Invalid CSRF token notification. This makes my site inaccessible from the web (it is still accessible locally).

Here is my .env file before the Invalid CSRF Token (I repeat, everything was working fine before the dc-pulling)

`APP_DEBUG=0
APP_ENV=prod
#APP_SECRET=

HTTPS_ENABLED=1
UPLOAD_MAX_FILESIZE=20M
PHP_MEMORY_LIMIT=512M
PHP_TZ=Europe/Paris

CORS_ALLOW_ORIGIN='^https?://(localhost|127.0.0.1)(:[0-9]+)?$'
JWT_SECRET_KEY=%kernel.project_dir%/config/jwt/private.pem
JWT_PUBLIC_KEY=%kernel.project_dir%/config/jwt/public.pem
#JWT_PASSPHRASE=

DB_DRIVER=pdo_pgsql
DB_NAME=******
DB_HOST=db
DB_PORT=5432
DB_USER=******
DB_PASSWORD=******
DB_VERSION=16`

Here's my docker-compose.yml file before the Invalid CSRF Token (I repeat all's workin nice before the dc-pulling)

`services:

koillection:
    image: koillection/koillection
    container_name: koillection
    restart: unless-stopped
    ports:
        - 80:80
    env_file:
        - .env
    depends_on:
        - db
    volumes:
        - ./volumes/koillection/uploads:/uploads


db:
    image: postgres:16
    container_name: db
    restart: unless-stopped
    env_file:
        - .env
    environment:
        - POSTGRES_DB=${DB_NAME}
        - POSTGRES_USER=${DB_USER}
        - POSTGRES_PASSWORD=${DB_PASSWORD}
    volumes:
        - "./volumes/postgresql:/var/lib/postgresql/data"`

I tried adding this to the .env file, even though it worked without it before, but nothing changed.

SYMFONY_TRUSTED_PROXIES=172.16.2.10/22
SYMFONY_TRUSTED_HEADERS=forwarded,x-forwarded-for,x-forwarded-host,x-forwarded-proto,x-forwarded-port,x-forwarded-prefix

Can't find any log and have debug mode ON

Ths for help

[benjaminjonard]

Yes, I had to make some changes to the authentication, and now reverse proxy configuration is required.

Hav youe tried using private_ranges for SYMFONY_TRUSTED_PROXIES ? It should work with any private local IP addresses.

If it's not working, is it possible to share your proxy configuration ? I'll see if I can reproduce

[Irwin0812]

Bonjour Benjamin,

je pense que vous êtes français c'est peut-être plus facile pour moi si cela vous convient? J'avoue avoir pas mal de site mais être novice en docker. Ou et comment devrais je implémenter cette fonction. Je m'excuse de vous ennuyer avec cela mais votre Koillection est vraiment ce que je cherchais pour une collection perso, sans passer par des serveurs qui pompent mes données (je suis sur mon propre serveur). Si je l'implémente directement dans mon yml il me donne une erreur. validating /home/irwin/docker-compose.yml: services.koillection additional properties 'trusted_proxies' not allowed

[benjaminjonard]

Bonjour, oui pas de soucis.

Normalement il faut ajouter ces valeurs dans le .env et redémarrer le container docker.

Il faudrait ajouter :

SYMFONY_TRUSTED_PROXIES=private_ranges
SYMFONY_TRUSTED_HEADERS=forwarded,x-forwarded-for,x-forwarded-host,x-forwarded-proto,x-forwarded-port,x-forwarded-prefix

Si ça fonctionne pas après redémarrage je veux bien voir comment le reverse proxy est configuré (il est sur docker aussi ?) Comme ça je pourrai tenter de reproduire de mon côté

[Irwin0812]

Un tout grand merci cela fonctionne parfaitement :)

Ouf Go Snapshot que pour une fois j'avais omis de faire avant updt

[Irwin0812]

Oups non mb j'ai tellement de fenetre ouverte que j'étais sur ma co locale

voici ma config RP

`upstream stream-kolection {
server 172.16.2.20;
}

server {
server_name kolection.xxxxxx.xx;

access_log  /var/log/nginx/kolection.access.log;
error_log   /var/log/nginx/kolection.error.log;



location / {
    proxy_pass      http://stream-kolection;
    proxy_redirect default;
    proxy_set_header Host $http_host;
    proxy_set_header X-Forwarded-Host $host;
}


listen 443 ssl; # managed by Certbot
ssl_certificate /etc/letsencrypt/live/kolection.xxx.xxxx/fullchain.pem; # managed by Certbot
ssl_certificate_key /etc/letsencrypt/live/kolection.xxx.xxxx/privkey.pem; # managed by Certbot
include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot
ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # managed by Certbot

}

server {
if ($host = kolection.xxxx.xxx) {
return 301 https://$host$request_uri;
} # managed by Certbot

server_name kolectionxxx.xx;
listen 80;
return 404; # managed by Certbot

}`

[benjaminjonard]

Ok, je regarderai un peu plus tard, je suis dans le train.

Pouvez vous exécuter cette commande dans le dossier où se trouve le fichier docker compose ? Juste pour être sûr que les var d'env sont bien prises en compte

docker compose exec koillection php bin/console debug:container --env-vars

[Irwin0812]

Symfony Container Environment Variables

No environment variables are being used.

[Irwin0812]

docker compose exec koillection php bin/console debug:container --env-vars

[2025-08-30T15:15:46.141715+00:00] deprecation.INFO: User Deprecated: Since doctrine/doctrine-bundle 2.13: Enabling the controller resolver automapping feature has been deprecated. Symfony Mapped Route Parameters should be used as replacement. {"exception":"[object] (ErrorException(code: 0): User Deprecated: Since doctrine/doctrine-bundle 2.13: Enabling the controller resolver automapping feature has been deprecated. Symfony Mapped Route Parameters should be used as replacement. at /var/www/koillection/vendor/doctrine/doctrine-bundle/src/DependencyInjection/DoctrineExtension.php:510)"} []

[2025-08-30T15:15:46.279896+00:00] deprecation.INFO: User Deprecated: Since symfony/framework-bundle 7.3: Not setting the "property_info.with_constructor_extractor" option explicitly is deprecated because its default value will change in version 8.0. {"exception":"[object] (ErrorException(code: 0): User Deprecated: Since symfony/framework-bundle 7.3: Not setting the "property_info.with_constructor_extractor" option explicitly is deprecated because its default value will change in version 8.0. at /var/www/koillection/vendor/symfony/framework-bundle/DependencyInjection/Configuration.php:1292)"} []

[2025-08-30T15:15:47.015417+00:00] deprecation.INFO: User Deprecated: Since symfony/framework-bundle 7.3: Not setting the "property_info.with_constructor_extractor" option explicitly is deprecated because its default value will change in version 8.0. {"exception":"[object] (ErrorException(code: 0): User Deprecated: Since symfony/framework-bundle 7.3: Not setting the "property_info.with_constructor_extractor" option explicitly is deprecated because its default value will change in version 8.0. at /var/www/koillection/vendor/symfony/framework-bundle/DependencyInjection/Configuration.php:1292)"} []

[Irwin0812]

APP_DEBUG=1
APP_ENV=prod
#APP_SECRET=

HTTPS_ENABLED=1
UPLOAD_MAX_FILESIZE=20M
PHP_MEMORY_LIMIT=512M
PHP_TZ=Europe/Brussels
SYMFONY_TRUSTED_PROXIES=private_ranges
SYMFONY_TRUSTED_HEADERS=forwarded,x-forwarded-for,x-forwarded-host,x-forwarded-proto,x-forwarded-port,x-forwarded-prefix

CORS_ALLOW_ORIGIN='^https?://(localhost|127.0.0.1)(:[0-9]+)?$'
JWT_SECRET_KEY=%kernel.project_dir%/config/jwt/private.pem
JWT_PUBLIC_KEY=%kernel.project_dir%/config/jwt/public.pem
#JWT_PASSPHRASE=

DB_DRIVER=pdo_pgsql
DB_NAME=****
DB_HOST=db
DB_PORT=5432
DB_USER=*****
DB_PASSWORD=*****
DB_VERSION=16

[benjaminjonard]

Je vais regarder dès que j'ai un peu de temps, en attendant vous pouvez retourner sur la version précendente sans problème en précisant le numéro de version dans le docker compose :

koillection:
    image: koillection/koillection:1.6.18

Edit: Une fois en version 1.6.18, pouvez vous changer la valeur de APP_ENV à dev et redémarrer ?

APP_ENV=dev
APP_DEBUG=1

Sur la page de login (il faudra peut être scroller un peu), ce truc devrait être apparu :

Cliquez sur le text "Loading..." pour arriver sur la console de debug. Sur la page il devrait se trouver une partie "Request headers", pourriez vous me la partager ? (en particuliers la partie où les header commencent par x-). Juste attention il peut y avoir des infos sensible dedans.

Et aussi dans l'onglet "Server parameters" en haut de la page, verifier que les 2 var d'env sont bien présentes.

[Irwin0812]

Bonjour Benjamin,

voici les infos demandées