* On part sur l'équivalent d'environ 40 caractères de large.
* La largeur est posée sur le conteneur, pas sur l'input lui-même.
* Masquer le label de façon accessible.
* Ajout au passage de la classe `.visually-hidden` en alias de `.offscreen`

Refs #5362

tcharlss a rédigé il y a 2 ans et marcimat a validé il y a 2 ans

- Login : utiliser la chaîne de langue « Se connecter » à la place de celle avec le terme générique « Valider ».
- Inscription : ajout d'une majuscule dans la chaîne de langue « S’inscrire », en vue de son utilisation dans le formulaire des squelettes-dist.

Refs #5357

Refs: #6361

fix: un loader svg plus moderne qu'on puisse utiliser partout (dérivé de https://git.spip.net/spip/statistiques/src/branch/master/prive/themes/spip/images/graph_loader.svg mais plus épais pour fonctionner aussi en petit taille)

- utiliser une fonction lien_gerer__oups() pour stocker/set/reset/request la valeur du oups, ce qui permet de la stocker dans une static pour la passer de traiter() à charger() plutot que dans une request()
- le oups sont accompagnes de l'id_auteur/time/arguments du formulaires, et encodés/signés via la fonction encoder_contexte_ajax() qui utilise le secret_du_site()
- au decodage, on verifie que id_auteur/time/arguments sont bon et on verifie egalement la structure des donnees dans le oups en vidant tout ce qui est suspect

Refs: https://git.spip.net/spip-team/securite/issues/4836

tcharlss a rédigé il y a 2 ans et b_b a validé il y a 2 ans

Utiliser des variables pour définir la taille max du h1, et au passage utiliser des variables dans le composant bouton-icone au lieu des vieux #SET / #GET

Fix: #5308

feat: Afficher la langue des utilisateurs sur leur page et pouvoir aussi éditer pour soi (tcharlss) + ajout du coup d'une chaine de langue toute simple : Langue. Que bizarrement SPIP n'avait toujours pas.

Fix #4919
Ref: #4919

Fix: #5099

Eric Lupinacci a rédigé il y a 2 ans et b_b a validé il y a 2 ans

Fix: #4016

cerdic a rédigé il y a 2 ans et marcimat a validé il y a 2 ans

chores: deplacer le code specifique au traitement des modeles dans inc/modeles pour eviter le fork par le plugin textwheel

Jack31 a rédigé il y a 2 ans et marcimat a validé il y a 2 ans

Suppression d’un encart proposant un script javascript dans la page de Suivi du site,
qui appelle une page distrib.html supprimée depuis SPIP 3.2.

Refs: #5285

Refs: #5278

Refs: #5274

cerdic a rédigé il y a 2 ans et marcimat a validé il y a 2 ans

fix: l'elevation de statut d'un auteur ou le changement de son mot de passe ou email ne peuvent pas se faire via une XMLHttpRequest pour eviter toute manipulation malicieuse d'un auteur via une XSS

cerdic a rédigé il y a 2 ans et marcimat a validé il y a 2 ans

fix: envoyer un CSP sur tout l'espace prive pour bloquer l'affichage en iframe et empecher une eventuelle XSS de manipuler des pages dans une iframe

cerdic a rédigé il y a 2 ans et marcimat a validé il y a 2 ans

fix: refuser_traiter_formulaire_ajax() ne fonctionnait pas quand un form contenait un element avec un name ou id 'submit' + ajouter un feedback visuel en cas de resubmit (on secoue un peu le formulaire)

fix: utiliser json_decode au lieu de unserialize pour le _oups, c'est plus robuste + ne plus gerer le cas historique d'un oups non encode en base64

fix: utiliser un base64_decode strict sur _oups et dans tous les cas echapper son contenu par entites_html
+ ignorer l'argument en request si le formulaire n'est pas editable
+ retablir la securite sur #ENV{_oups} vu que c'est un base64 qui ne sera modifie par aucune fonction d'echappement

Refs: https://git.spip.net/spip-team/securite/issues/4835

Refs: https://git.spip.net/spip-team/securite/issues/4833

JLuc a rédigé il y a 2 ans et marcimat a validé il y a 2 ans

Fix: #5245

On utilise des icônes plus explicites :
* Au survol/focus, on montre le sens de tri qui sera appliqué
* On en met une sur tous les items triables afin de mieux les repérer

cerdic a rédigé il y a 2 ans et marcimat a validé il y a 2 ans

Indiquer `autocomplete='new-password'` sur l'email comme on a déjà sur le login et le password,
pour éviter que les navigateurs ne proposent l'autocompletion avec ses propres identifiants
alors qu'on est en train d'éditer la fiche de quelqu'un d'autre

Fix: #5218

tcharlss a rédigé il y a 2 ans et marcimat a validé il y a 2 ans

* La balise `#TRI` produit dorénavant toujours un lien, même si l'item est exposé.
* Un clic sur un item exposé inverse le sens du tri
* L'item utilisé pour le tri est indiqué visuellement au moyen d'un picto (uniquement dans le privé)

Fix: #4877

Maïeul a rédigé il y a 2 ans et marcimat a validé il y a 2 ans

L'adresse de suivi peut être une série d'adresses séparées par des virgules.

Par conséquent :
- l'expliciter dans la chaîne de langue
- avoir un input de type `text` et pas `email` sinon les navigateurs
bloquent les virgules.

#5194 Améliorer le comportement du bouton 'Ajourd'hui' dans le dateur en surlignant le jour courant + ajout option data-todayhighlight sur les input.date + fix option data-clearbtn

Application à editer_article, editer_auteur, editer_rubrique

Application à editer_article, editer_auteur, editer_rubrique.

Fix la navigation par initiale sur les listes auteurs et visiteurs : utiliser le markup de pagination

Permettre de debug les erreurs sur les liens ajax : le fallback redirige vers l'URL, mais du coup on ne peut plus voir le probleme dans la console js. Il suffit de lever le flag jQuery.spip.debug pour desactiver la redirection automatique fallback