fix: les PDF envoyés avec un CSP Sandbox ne sont pas visibles dans Safari ou Chrome, on fait donc une exception pour ces fichiers

Refs: #5316

Refs: #5331

refactor: On deplace tous les collecteurs dans /SPIP/Texte/Collecteur/xxx et la classe de base devient un AbstractCollecteur

refactor: utiliser le collecteur pour le découpage du bloc multi en tableau lang=>texte c'est plus robuste et rapide

fix: echapper (et sanitizer si besoin) les multis et les idiomes dans safehtml() la fonction, avant d'appeler la lib sous-jacente qui de toute façon ne les connaitra pas

refactor: utiliser un CollecteurIdiomes pour collecter/echapper/retablir et traiter les idiomes <:ecrire:bouton_valider:>

refactor: une classe Spip\Textr\CollecteurLiens pour collecter les liens + l'utiliser dans le traitement des modeles

refactor: une classe generique Spip\Texte\Utils\Collecteur pour traiter les collections/echappement/remplacement et utilisation pour les modeles en dans Spip\Texte\CollecteurModeles

Refs: #5018

en le remplaçant par un simple lien vers le site officiel gnu.org

Fix: #5328

fix: lors de l'upgrade depuis SPIP 4.0 ou antérieur il faut forcer le webmestre à se reloger pour générer un fichier `config/cles.php` et les autres auteurs à rehasher leur mot de passe de façon plus sure

Refs: #5336

- utiliser une fonction lien_gerer__oups() pour stocker/set/reset/request la valeur du oups, ce qui permet de la stocker dans une static pour la passer de traiter() à charger() plutot que dans une request()
- le oups sont accompagnes de l'id_auteur/time/arguments du formulaires, et encodés/signés via la fonction encoder_contexte_ajax() qui utilise le secret_du_site()
- au decodage, on verifie que id_auteur/time/arguments sont bon et on verifie egalement la structure des donnees dans le oups en vidant tout ce qui est suspect

Refs: https://git.spip.net/spip-team/securite/issues/4836

fix: PHP_AUTH peut être utilisé avec autre chose que ldap, et il convient donc d'appeler les méthodes d'auth avec le login contenu dans PHP_AUTH_USER

perf: inutile de jouer une regexp complete sur une balise pour extraire un attribut si un simple `stripos()` ne permet pas de le detecter

refactor: collecte des modeles dans un texte avec une seule regexp en utilisant l'option PREG_OFFSET_CAPTURE et des strpos partout où c'est possible

fix: ne pas supposer suspect du html qui contient des entites unicode numériques transformées par `safehtml()`

Refs: #5334

tcharlss a rédigé il y a 2 ans et b_b a validé il y a 2 ans

Utiliser des variables pour définir la taille max du h1, et au passage utiliser des variables dans le composant bouton-icone au lieu des vieux #SET / #GET

Refs: spip/spip#5329

feat: ajout de liens de retour vers le site public + déconnexion dans un des écrans d'erreur d'accès à l'espace privé

Refs: #5323

Fix: #5308

Fix: #5132