Eric Lupinacci a rédigé 2 years ago et b_b a validé 2 years ago

Fix: #4016

Jack31 a rédigé 2 years ago et marcimat a validé 2 years ago

Suppression d’un encart proposant un script javascript dans la page de Suivi du site,
qui appelle une page distrib.html supprimée depuis SPIP 3.2.

Refs: #5285

cerdic a rédigé 2 years ago et marcimat a validé 2 years ago

fix: envoyer un CSP sur tout l'espace prive pour bloquer l'affichage en iframe et empecher une eventuelle XSS de manipuler des pages dans une iframe

* generer_url_entite => generer_objet_url
* generer_url_entite_absolue => generer_objet_url_absolue
Les anciennes fonctions restent utilisables mais sont depreciees

Sur les éléments :

- filtre sinon() : strlen qui doit être appliqué uniquement sur un string.
- parametre_url() sans affectation : rawurlencode et strlen s’appliquent
  uniquement sur un string (pas sur null).
- les traductions peuvent retourner `null` si la clé demandée n’existe
  nul part. Ne pas tenter d’appliquer strlen ou autre dessus.
  + mini reformatage dans _T().
- _image_tag_changer_taille() : éviter d’appeler preg_replace sur null
- protege_champ() si la valeur null est passée. + Refactoring de la fonction.
- image_filtrer()
- critère pagination.
- _q(), sur addslashes avec valeur null.
- Éviter de créer un 'connect' qui vaut null, alors qu’il doit être une chaine.
- sur la propriété Boucle->limit
- echapper_faux_tags()
- urls_decoder_url()
- spip_mysql_cite()
- modifier_class() + refactoring
- spip_connect_sql() lorsque le serveur sql est injoignable.
- _image_valeurs_trans()
- formulaires_editer_liens_charger_dist (À revoir ! )
- extraire_balise, si null est transmis…
- formulaires_editer_objet_charger lorsque id_parent vaut null
- le login : ne pas appliquer trim sur null.
- sur appel d’autorisation : s’assurer d’avoir un int `$id`.
- S’assurer de passer un int à tester_statut_inscription.
- ratio_passe_partout()
- filtre in_any() avec valeurs null.
- sur les balises TOTAL_BOUCLE, GRAND_TOTAL, COMPTEUR_BOUCLE, lorsqu’utilisées
  sur les parties alternatives de boucles lorsque les tables sont inexistantes
  (ex: boucles de compaptage sur une (SIGNATURES?) avec le plugin pétitions absent.
- Sur autoriser() dont le type est null
- sur balise `#VAL`, lorsqu’utilisée vide comme `#VAL|filtre`
  + typage sur interprete_argument_balise.

Ticket #4768 : à partir de maintenant il est inutile d'ajouter les préfixes navigateurs dans les CSS de l'espace privé. Pour ce faire on intègre la lib JS Prefixfree qui ajoute les préfixes à la volée. La méthode sera peut-être amenée à changer dans les versions futures, on ne propose donc pas de le charger sur le public via un formulaire de configuration ou autre pour l'instant.

Glop a rédigé 3 years ago et cerdic a validé 3 years ago

Vérifie que l'on est bien autorisé·e à voir des objets lorsque l'on fait
une recherche dans l'interface privée.

L'idée ici est de se reposer sur les autorisations `autoriser_*_voir`
pour s'assurer que l'on peut effectuer des recherches (et afficher les
résultats) sur les objets concernés. Sans cela, il est possible de faire
afficher à SPIP des objets (leur titre, en tout cas) que l'on n'aurait
pas l'autorisation de voir.

L'autorisation est globale, au sens où il n'y a pas de vérification de
l'autorisation pour chaque résultat de la recherche. Il y a peut-être
un moyen de faire plus finement en établissant une liste des
identifiants des objets que l'on peut afficher dans les résultats (un
peu à la manière de `statuts_articles_visibles`, qui indique quels
statuts d'articles on a le droit d'afficher), mais je ne vois pas
comment faire cela sans appeler l'autorisation pour tous les objets,
ce qui alourdirait considérablement la recherche.

Néanmoins, l'autorisation n'est pas appliquée dans le cas des articles,
car elle est déjà prise en compte lors de l'établissement de la variable
`statut`.

This reverts commit bd3573e8.

On désactive le lien d'aide du bandeau (peut être temporairement). L'aide en ligne a été réduite pour l'instant aux raccourcis typographiques.

Les différences visuelles sont mineures, il s'agit juste de caler un peu les éléments, les gouttières, etc.
Par contre en arrière-plan on fait un gros ménage pour préparer et simplifier les évolutions futures.

* Rangement et reformatage complet de la CSS : mutualiser les règles, supprimer celles en double ou en triple, ajout de commentaires, etc.
* Markup : Ajout de classes utiles là où il n'y en avait pas, et notamment d'attributs data pour cibler plus facilement les éléments du menu selon la profondeur, pour faire par exemple .item[data-profondeur="2"] au lieu de ul>li>ul>li
* Menu identité : espacer les liens, textes plus foncés, traits de séparations inutiles, et icône de langue alternative.
* Menu rubriques : rétablit les carets pour les entrées depliables. Les sous-menu en colonnes sont fait avec column-count : cela permet de gagner de la place par rapport à display flex, grid ou autre, et cela simplifie les règles.
* Bien indiquer les prises de focus de tous les liens.
* Menus déroulants : refaire fonctionner la navigation au clavier qui était hs, purement en CSS pour l'instant. À voir s'il ne faut garder qu'une des 2 solutions, ou les 2 en compléments (le JS ajoutait un petit délai en plus, non reproductible en CSS).
* Ajout d'un peu de responsive

tcharlss a rédigé 3 years ago et marcimat a validé 3 years ago

Dans la page maintenance, utiliser une alerte plutôt qu'une boîte pour le message relatif au htaccess (#4727).

Revert "Présentation des sous-rubriques (vignettes + grosses)"
This reverts commit 1847b1dc

Revert "Titres des boîtes et formulaires un peu plus grands et plus épais pour mieux distinguer du contenu (nicod_)"
This reverts commit 96fe7ab9.

Revert "Dans la page maintenance, utiliser une alerte plutôt qu'une boîte pour le message relatif au htaccess (#4727)."
This reverts commit 81ead9eb.

Revert "Introduction d'une balise `#ALERTE` dédiée aux messages d'alerte de l’espace privé (#4727)."
This reverts commit 986fc9db.

Revert "Refacto des styles des messages d'alerte de l’espace privé (#4727)."
This reverts commit e078f2d7.

Revert "Ajustements des styles des formulaires pour suivre la refonte des boîtes + quelques détails (#4727)"
This reverts commit b5068f84.

Revert "Refacto des styles des boîtes de l'espace privé (#4727)."
This reverts commit 18df0352.

Dans la page maintenance, utiliser une alerte plutôt qu'une boîte pour le message relatif au htaccess (#4727).

Comme pour le public, changer le balisage du conteneur de pagination en choisissant ici un <nav> au lieu d'un <p>, plus robuste et plus signifiant
Prepare #2822

Fix #4380 : un loader svg, utilisable en balise <img> ou <svg> (auquel cas il prend la couleur courante)

Début d'utilisation d'un objet spipConfig indépendant de jQuery dès le départ, et remplissage avec les anciennes variables + savoir si espace privé. On ajoute une fonction qui utilise ça dans jQuery.spip.test_espace_prive() pour faire comme en PHP, pour l'instant toujours cloisonné à jQuery.spip tant que pas mieux, car c'est pas bien d'avoir des fonctions persos qui se baladent dans la nature sans cloisonnement.

cy.altern a rédigé 4 years ago et cerdic a validé 4 years ago

suppression du bloc configurer_moderniseur et de son formulaire
close #4651

remplacement de l'option de config version_html_max par la constante _VERSION_HTML de manière à ce que la fonction html5_permis() fasse un retour similaire :
```
define('_VERSION_HTML', 'html4')
```
Permet de rétablir le fonctionnement sans html5

Co-authored-by: cy_altern <cy.altern@gmail.com>
Reviewed-on: https://git.spip.net/spip/spip/pulls/99


Co-Authored-By: cy.altern <cy.altern@noreply.git.spip.net>
Co-Committed-By: cy.altern <cy.altern@noreply.git.spip.net>

ref #4302