Protokoll #22190

{
    "event": "PreToolUse",
    "tool_name": "mcp__mcp-tasks__tasks_update",
    "tool_input": {
        "id": 440,
        "description": "# HTMX-Implementation: content-pipeline\/show.php\n\n## Ziel\nCustom fetch()-Aufrufe durch HTMX ersetzen fuer Konsistenz und Sicherheit.\n\n## KRITISCH: Sicherheitsluecke im aktuellen Code\n```javascript\n\/\/ Zeile 300 - KEIN CSRF-Token!\nconst response = await fetch(`\/content-pipeline\/${pipelineId}\/steps\/${stepId}\/model`, {\n    method: 'POST',\n    headers: { 'Content-Type': 'application\/x-www-form-urlencoded' },\n    body: 'model=' + encodeURIComponent(model)\n});\n```\n**→ Alle 3 fetch()-Aufrufe haben KEINE CSRF-Protection!**\n\n## Betroffene Datei\n`\/var\/www\/dev.campus.systemische-tools.de\/src\/View\/content-pipeline\/show.php`\n\n## Aktuelle fetch()-Aufrufe\n- Zeile 300: Model-Dropdown Change\n- Zeile 341: Collection-Dropdown Change  \n- Zeile 393: Config-Wert Inline-Edit\n\n## Ziel-Implementierung\n\n### 1. Model-Select mit HTMX\n```php\n<select class=\"form-select--compact\"\n        name=\"model\"\n        hx-post=\"\/content-pipeline\/<?= $pipeline['id'] ?>\/steps\/<?= $step['id'] ?>\/model\"\n        hx-headers='{\"X-CSRF-TOKEN\": \"<?= $csrfToken ?>\"}'\n        hx-swap=\"none\"\n        hx-disabled-elt=\"this\"\n        hx-on::after-request=\"this.classList.toggle('is-saved', event.detail.successful); setTimeout(() => this.classList.remove('is-saved'), 1000)\">\n    <?php foreach ($models as $m): ?>\n    <option value=\"<?= $m ?>\" <?= $step['model'] === $m ? 'selected' : '' ?>><?= $m ?><\/option>\n    <?php endforeach; ?>\n<\/select>\n```\n\n### 2. Collection-Select mit HTMX\n```php\n<select class=\"form-select--compact\"\n        name=\"collection\"\n        hx-post=\"\/content-pipeline\/<?= $pipeline['id'] ?>\/steps\/<?= $step['id'] ?>\/collection\"\n        hx-headers='{\"X-CSRF-TOKEN\": \"<?= $csrfToken ?>\"}'\n        hx-swap=\"none\"\n        hx-disabled-elt=\"this\"\n        hx-on::after-request=\"this.classList.toggle('is-saved', event.detail.successful); setTimeout(() => this.classList.remove('is-saved'), 1000)\">\n    <?php foreach ($collections as $c): ?>\n    <option value=\"<?= $c ?>\" <?= $step['collection'] === $c ? 'selected' : '' ?>><?= $c ?><\/option>\n    <?php endforeach; ?>\n<\/select>\n```\n\n### 3. Config-Wert Click-to-Edit\n```php\n<span class=\"config-value\"\n      hx-get=\"\/content-pipeline\/<?= $pipeline['id'] ?>\/config\/<?= $key ?>\/edit\"\n      hx-trigger=\"click\"\n      hx-target=\"this\"\n      hx-swap=\"outerHTML\">\n    <?= htmlspecialchars($value) ?>\n<\/span>\n```\n\nEdit-Partial:\n```php\n<input type=\"text\" \n       name=\"value\"\n       value=\"<?= htmlspecialchars($value) ?>\"\n       class=\"form-input--inline\"\n       hx-post=\"\/content-pipeline\/<?= $pipeline['id'] ?>\/config\/<?= $key ?>\"\n       hx-headers='{\"X-CSRF-TOKEN\": \"<?= $csrfToken ?>\"}'\n       hx-trigger=\"blur, keyup[key=='Enter']\"\n       hx-target=\"this\"\n       hx-swap=\"outerHTML\"\n       autofocus>\n```\n\n### Controller-Anpassungen\n\nAlle Endpoints muessen:\n1. `$this->requireCsrf()` aufrufen\n2. Bei Fehler `$this->htmxError()` nutzen\n3. Bei Erfolg mit `hx-swap=\"none\"` einfach 200 OK senden\n\n```php\npublic function updateStepModel(int $pipelineId, int $stepId): void\n{\n    $this->requireCsrf();\n    \n    try {\n        $model = $_POST['model'] ?? null;\n        if (!$model) {\n            $this->htmxError('Model fehlt');\n            return;\n        }\n        \n        $this->pipelineUseCase->updateStepModel($pipelineId, $stepId, $model);\n        \n        \/\/ hx-swap=\"none\" erwartet nur Status 200\n        http_response_code(200);\n    } catch (\\Exception $e) {\n        $this->htmxError($e->getMessage());\n    }\n}\n```\n\n### JavaScript entfernen\nLoesche Zeilen 286-426 (gesamter `<script>`-Block).\n\n### CSS ergaenzen\n```css\n.is-saved {\n    outline: 2px solid var(--color-success);\n    outline-offset: 2px;\n    transition: outline 0.3s ease-out;\n}\n```\n\n## Contract-Compliance (v1.2)\n- [x] HTMX-C1: hx-post mit CSRF-Token (AKTUELL VERLETZT!)\n- [x] HTMX-C6: Controller nutzt htmxError()\n- [x] HTMX-R1: fetch() durch HTMX ersetzt\n- [x] HTMX-R4: hx-disabled-elt\n\n## Testplan\n1. [ ] Model-Dropdown speichert ohne Reload\n2. [ ] Collection-Dropdown speichert ohne Reload\n3. [ ] Config-Werte editierbar per Click\n4. [ ] Visuelles Feedback (gruene Outline) bei Erfolg\n5. [ ] Fehlerfall → Alert in #htmx-messages\n6. [ ] CSRF-Token wird gesendet (DevTools pruefen)\n7. [ ] Kein JavaScript-Fehler in Console"
    }
}

{
    "tool_response": [
        {
            "type": "text",
            "text": "{\n  \"success\": true,\n  \"task\": {\n    \"id\": 440,\n    \"uuid\": \"c9e7ea7b-2768-48ff-8044-399547783600\",\n    \"title\": \"HTMX: content-pipeline\/show.php - fetch() durch HTMX ersetzen\",\n    \"description\": \"# HTMX-Implementation: content-pipeline\/show.php\\n\\n## Ziel\\nCustom fetch()-Aufrufe durch HTMX ersetzen fuer Konsistenz und Sicherheit.\\n\\n## KRITISCH: Sicherheitsluecke im aktuellen Code\\n```javascript\\n\/\/ Zeile 300 - KEIN CSRF-Token!\\nconst response = await fetch(`\/content-pipeline\/${pipelineId}\/steps\/${stepId}\/model`, {\\n    method: 'POST',\\n    headers: { 'Content-Type': 'application\/x-www-form-urlencoded' },\\n    body: 'model=' + encodeURIComponent(model)\\n});\\n```\\n**→ Alle 3 fetch()-Aufrufe haben KEINE CSRF-Protection!**\\n\\n## Betroffene Datei\\n`\/var\/www\/dev.campus.systemische-tools.de\/src\/View\/content-pipeline\/show.php`\\n\\n## Aktuelle fetch()-Aufrufe\\n- Zeile 300: Model-Dropdown Change\\n- Zeile 341: Collection-Dropdown Change  \\n- Zeile 393: Config-Wert Inline-Edit\\n\\n## Ziel-Implementierung\\n\\n### 1. Model-Select mit HTMX\\n```php\\n<select class=\\\"form-select--compact\\\"\\n        name=\\\"model\\\"\\n        hx-post=\\\"\/content-pipeline\/<?= $pipeline['id'] ?>\/steps\/<?= $step['id'] ?>\/model\\\"\\n        hx-headers='{\\\"X-CSRF-TOKEN\\\": \\\"<?= $csrfToken ?>\\\"}'\\n        hx-swap=\\\"none\\\"\\n        hx-disabled-elt=\\\"this\\\"\\n        hx-on::after-request=\\\"this.classList.toggle('is-saved', event.detail.successful); setTimeout(() => this.classList.remove('is-saved'), 1000)\\\">\\n    <?php foreach ($models as $m): ?>\\n    <option value=\\\"<?= $m ?>\\\" <?= $step['model'] === $m ? 'selected' : '' ?>><?= $m ?><\/option>\\n    <?php endforeach; ?>\\n<\/select>\\n```\\n\\n### 2. Collection-Select mit HTMX\\n```php\\n<select class=\\\"form-select--compact\\\"\\n        name=\\\"collection\\\"\\n        hx-post=\\\"\/content-pipeline\/<?= $pipeline['id'] ?>\/steps\/<?= $step['id'] ?>\/collection\\\"\\n        hx-headers='{\\\"X-CSRF-TOKEN\\\": \\\"<?= $csrfToken ?>\\\"}'\\n        hx-swap=\\\"none\\\"\\n        hx-disabled-elt=\\\"this\\\"\\n        hx-on::after-request=\\\"this.classList.toggle('is-saved', event.detail.successful); setTimeout(() => this.classList.remove('is-saved'), 1000)\\\">\\n    <?php foreach ($collections as $c): ?>\\n    <option value=\\\"<?= $c ?>\\\" <?= $step['collection'] === $c ? 'selected' : '' ?>><?= $c ?><\/option>\\n    <?php endforeach; ?>\\n<\/select>\\n```\\n\\n### 3. Config-Wert Click-to-Edit\\n```php\\n<span class=\\\"config-value\\\"\\n      hx-get=\\\"\/content-pipeline\/<?= $pipeline['id'] ?>\/config\/<?= $key ?>\/edit\\\"\\n      hx-trigger=\\\"click\\\"\\n      hx-target=\\\"this\\\"\\n      hx-swap=\\\"outerHTML\\\">\\n    <?= htmlspecialchars($value) ?>\\n<\/span>\\n```\\n\\nEdit-Partial:\\n```php\\n<input type=\\\"text\\\" \\n       name=\\\"value\\\"\\n       value=\\\"<?= htmlspecialchars($value) ?>\\\"\\n       class=\\\"form-input--inline\\\"\\n       hx-post=\\\"\/content-pipeline\/<?= $pipeline['id'] ?>\/config\/<?= $key ?>\\\"\\n       hx-headers='{\\\"X-CSRF-TOKEN\\\": \\\"<?= $csrfToken ?>\\\"}'\\n       hx-trigger=\\\"blur, keyup[key=='Enter']\\\"\\n       hx-target=\\\"this\\\"\\n       hx-swap=\\\"outerHTML\\\"\\n       autofocus>\\n```\\n\\n### Controller-Anpassungen\\n\\nAlle Endpoints muessen:\\n1. `$this->requireCsrf()` aufrufen\\n2. Bei Fehler `$this->htmxError()` nutzen\\n3. Bei Erfolg mit `hx-swap=\\\"none\\\"` einfach 200 OK senden\\n\\n```php\\npublic function updateStepModel(int $pipelineId, int $stepId): void\\n{\\n    $this->requireCsrf();\\n    \\n    try {\\n        $model = $_POST['model'] ?? null;\\n        if (!$model) {\\n            $this->htmxError('Model fehlt');\\n            return;\\n        }\\n        \\n        $this->pipelineUseCase->updateStepModel($pipelineId, $stepId, $model);\\n        \\n        \/\/ hx-swap=\\\"none\\\" erwartet nur Status 200\\n        http_response_code(200);\\n    } catch (\\\\Exception $e) {\\n        $this->htmxError($e->getMessage());\\n    }\\n}\\n```\\n\\n### JavaScript entfernen\\nLoesche Zeilen 286-426 (gesamter `<script>`-Block).\\n\\n### CSS ergaenzen\\n```css\\n.is-saved {\\n    outline: 2px solid var(--color-success);\\n    outline-offset: 2px;\\n    transition: outline 0.3s ease-out;\\n}\\n```\\n\\n## Contract-Compliance (v1.2)\\n- [x] HTMX-C1: hx-post mit CSRF-Token (AKTUELL VERLETZT!)\\n- [x] HTMX-C6: Controller nutzt htmxError()\\n- [x] HTMX-R1: fetch() durch HTMX ersetzt\\n- [x] HTMX-R4: hx-disabled-elt\\n\\n## Testplan\\n1. [ ] Model-Dropdown speichert ohne Reload\\n2. [ ] Collection-Dropdown speichert ohne Reload\\n3. [ ] Config-Werte editierbar per Click\\n4. [ ] Visuelles Feedback (gruene Outline) bei Erfolg\\n5. [ ] Fehlerfall → Alert in #htmx-messages\\n6. [ ] CSRF-Token wird gesendet (DevTools pruefen)\\n7. [ ] Kein JavaScript-Fehler in Console\",\n    \"type\": \"ai_task\",\n    \"status\": \"pending\",\n    \"created_by\": \"mcp-tasks\",\n    \"created_by_type\": \"ai\",\n    \"parent_task_id\": null,\n    \"due_date\": null,\n    \"created_at\": \"2025-12-27T11:34:08.379603\",\n    \"updated_at\": \"2025-12-27T11:58:04.569798\",\n    \"completed_at\": null,\n    \"metadata\": {}\n  },\n  \"message\": \"Task #440 updated\"\n}"
        }
    ]
}