Mantis Bug Tracker - Forums

Hallo zusammen,

ich würde gern über die $g_main_menu_custom_options eine neue Seite in das Menü einfügen. Das geht auch Problemlos. Leider ist diese Seite dann aber auch direkt aufrufbar wenn der URL einmal bekannt ist. Die Seite darf aber nur bei bestehender Mantis Anmeldung aufgerufen werden können.

Ich habe hier bereits mit den Funktionen auth_ensure_user_authenticated() und auth_is_user_authenticated() experimentiert, komme aber zu keinem richtigen Ergebnis. Ich möchte in bez. auf kommende Updates möglichst wenig ändern und würde die Seite gern in ein eigenes Unterverzeichnis vom Mantis packen.Dadurch verliere ich aber die Pfade zu den APIs ode bekomme einen Content-Encoding-Fehler im Browser oder, oder....

Gibt es hier einen einfachen anderen Weg oder eine Art Skeleton zu weiterentwickeln o.ä.? Ich weiss nicht, was alles in welcher Form eingebunden werden muss um diesen Schutz zu erzielen.

Könnt Ihr mir einen Tipp geben?

Danke,

rupa

Hallo,

hat niemand eine Idee oder nutzt diese Funktion?

Danke,

rupa

Welche MantisBT Version wird verwendet?

Hallo atrol,

sorry, ich war eine Weile unterwegs...

Wir setzen im Moment die 1.2.15 ein, die aktuelle Version 2 ist aber soweit getestet und wird kurzfristig eingesetzt werden.

In 2.x sollte das für eine Funktion, die z.B. in custom/hello.php abgelegt ist, wie folgt funktionieren.

In config_inc.php custom/hello.php

Hallo,

vielen Dank atrol für die schöne und genaue Anleitung.

Ähnlich hatte ich es schon probiert. Leider bekomme ich dann immer einen Fehler :"cannot decode raw data" (NSURLErrorDomain:-1015) wenn ich die Startseite als "custom/index.php" aufrufe. Das muss irgendwie mit der Komprimierung zusammenhängen, die aber doch bei den regulären Mantis Seiten ohne Probleme erkannt wird. Oder muss hier noch eine andere php Datei included werden?

Wenn ich die "custom/index.php" in "custom/index.html" umbenenne klappt der Aufruf einwandfrei, aber dann habe ich ja leider den Schutz durch php nicht...

Ohne den genauen Inhalt von custom/index.php zu kennen, kann ich dazu nichts sagen.

Funktioniert denn mein Beispiel in der 2.x Umgebung?

Hallo atrol,

ja, vielen Dank dafür. ich habe mich schrittweise rangetastet und konnte so die Probleme etwas genauer lokalisieren. Der Zugriffsschutz der custom Seite geht nun wie er soll.

Leider habe ich nun noch Probleme, den darin enthaltenen JavaScript Code unter der Content-Security-Policy des MantisBT gangbar zu machen. Ich möchte diesen sinnvollen Schutz nicht komplett deaktivieren ($g_custom_headers). Aber im scope der custom Seite sollte ein lokales Javascript doch erlaubter sein. Diese Syntax habe ich aber noch nicht verstanden...

Wenn man denn unbeding die CSP Header ändern muss, dann auf die hier beschriebene Weise, da dann zumindest die vorhandenen Header nicht komplett ersetzt, sondern nur erweitert werden
http://www.mantisbt.org/forums/viewtopi ... 277#p61277

Hallo atrol,

den Hinweis habe ich verstanden und umgesetzt...

Der Inline Code ist nun entfernt und ich denke es geht alles so wie es soll.

Vielen Dank für die ausführliche und prompte Hilfe!

rupa

rupa wrote: Der Inline Code ist nun entfernt

Gute Entscheidung, nicht jeder ist am Thema "Sicherheit" interessiert