Ich wollte heute nach langer Zeit wieder einmal MantisBT ausprobieren. Die Software hatte ich schon vor 10 Jahren in zwei ehemaligen Unternehmen mit Erfolg eingesetzt. Nach der Installation der Software wurden aber die CSS Dateien nur über http geladen und das wurde wegen Content Security Policy (CSP) blockiert. Natürlich hatte ich per Let’s Encrypt und HAProxy aber alles ausschließlich per HTTPS erreichbar gemacht. Vermutlich war letzteres auch das Problem. MantisBT sah ohne die Dateien natürlich recht unformatiert aus.
Bei der Recherche zu dem Problem bin ich auf diverse User gestoßen die ein ähnliches Problem anscheinend auch hatten. Wie kann man nun das MantisBT CSP Problem lösen?
MantisBT CSP Problem lösen durch Anpassen der Konfiguration
Um das MantisBT CSP Problem zu lösen habe ich in der Konfigurationsdatei eine Variable überschrieben. Die Konfigurationsdatei liegt unter im Hauptverzeichnis der MantisBT Installation unter “config/config_inc.php”.
Hier stehen ggf. auch eure Datenbank Einstellungen. Daher vorsichtig, wenn ihr sie anpasst.
Folgende Zeile müsst ihr dann hinzufügen.
$g_path = "https://euredomain.tld/"Das https:// und das / am Ende sind wichtig. Die. bitte. nicht vergessen, wenn ihr das Problem auch darüber lösen müsst. Ansonsten stimmen die Pfade nicht mehr.
Die Dokumentation zur Variable findet ihr hier.
Content Security Policy (CSP)
Was ist das eigentlich die Content Security Policy? Die dient als weitere Sicherheitsebene, um unter anderen Cross Site Scripting(XSS) zu erschweren.Der Browser blockiert alle zu ladenden Dateien die nicht von der aufgerufenen Domain kommen. Und dazu wird auch das Protokoll betrachtet. Sollte Inhalte per HTTP statt per HTTPS aufgerufen werden, werden diese Inhalte selbst dann blockiert, wenn der Inhalt von der selben Domain stammt. Weitere Informationen findet ihr hier.
