21224 Commits (4.0)
 

Author SHA1 Message Date
Matthieu Marcillaud d07feebfe6 build: Version 4.0.9 2 weeks ago
Glop 88f4242d3e fix: délai de 48 h et non pas de 48 jours pour vider les contextes Ajax 4 weeks ago
Cerdic 55d8f27ef8 fix: verifier le format de oups avant de le passer à objet_associer 5 months ago
Matthieu Marcillaud ebad49aed7 build: Version 4.0.8 6 months ago
Matthieu Marcillaud 70bffc2a8e build: Up Bigup en branche 2.1 7 months ago
Matthieu Marcillaud 542bf41d66 style: Coding Standard (phpcbf) 7 months ago
Cerdic 7a23d38af9 fix: l'elevation de statut d'un auteur ou le changement de son mot de passe ou email ne peuvent pas se faire via une XMLHttpRequest pour eviter toute manipulation malicieuse d'un auteur via une XSS 7 months ago
Cerdic a874baeebd fix: envoyer un CSP sur tout l'espace prive pour bloquer l'affichage en iframe et empecher une eventuelle XSS de manipuler des pages dans une iframe 7 months ago
Cerdic f1e64f753a fix: #HTTP_HEADER{} avec quote dans la valeur du header provoquait l'envoi d'un quote echappe, ce qui n'est pas le resultat attendu 7 months ago
Cerdic c87283b905 fix: refuser_traiter_formulaire_ajax() ne fonctionnait pas quand un form contenait un element avec un name ou id 'submit' + ajouter un feedback visuel en cas de resubmit (on secoue un peu le formulaire) 7 months ago
Cerdic 07bc99aa5b fix: Échapper les noms de fichier quand on génère une balise img à l'aide du filtre `|balise_img` 7 months ago
Cerdic 824d0b5a17 fix: envoyer un CSP sandbox sur tous les documents de IMG 7 months ago
Cerdic e6efd8e8f1 fix: mise a jour de l'écran de sécurité 7 months ago
Cerdic fcc0c3c854 fix: utiliser un base64_decode strict sur _oups et dans tous les cas echapper son contenu par entites_html 7 months ago
Cerdic ba252df166 fix: Signaler visuellement les liens javascript dans les zones editoriales #wysiwyg ou .wysiwyg 7 months ago
Cerdic 7a77c3a9d9 fix: des parenthèses manquantes et la seconde partie de l'expression etait ignoree pour l'affectation de lock 7 months ago
Cerdic cb079cf8c6 fix: ne pas faire tourner les aleas et le hash du password quand on veririe le pass de l'auteur connecte, car cela invalide les signatures de formulaire et provoque des petits bugs de comportement en cas où il y a une autre erreur sur le formulaire 7 months ago
Cerdic fe5e2ae7cd feat: une fonction `auth_controler_password_auteur_connecte()` pour contrôler facilement le password de l'auteur connecté 7 months ago
Cerdic a0e58d1677 fix(spip-team/securite#4831) Lever le flag `espace_prive=1` quand on calcule un traitement via la balise `#INFO_` dans l'espace prive, pour bien avoir tous les traitements nécéssaires 8 months ago
Cerdic 853191817d Fix #5118 : lors de la copie locale on appele la sanitisation SVG, qui elle même commence par forcer les unités de la viewbox 8 months ago
Cerdic e2807ae7e3 #5194 Améliorer le comportement du bouton 'Ajourd'hui' dans le dateur en surlignant le jour courant + ajout option data-todayhighlight sur les input.date + fix option data-clearbtn 8 months ago
Cerdic c22d84c3d3 loger l'avancement de la migration des logos, c'est mieux quand on upgrade en cli sur un gros site 8 months ago
Matthieu Marcillaud 37ba4101dd Version 4.0.7 9 months ago
Matthieu Marcillaud 3263834e63 Coding standard 9 months ago
Cerdic 24e66e71eb Issue #5095 : Ne pas casser une meta serializee quand un utilisateur saisit un emoji dans un formulaire de configuration 9 months ago
b_b ea0820f204 Fix #5183 éviter de générer des icones trop grandes dans la liste des articles syndiqués 9 months ago
Cerdic a5e7bf2b33 Permettre de debug les erreurs sur les liens ajax : le fallback redirige vers l'URL, mais du coup on ne peut plus voir le probleme dans la console js. Il suffit de lever le flag jQuery.spip.debug pour desactiver la redirection automatique fallback 9 months ago
Cerdic 1c2c59065d coquille sur l'option, qui est bien expires avec un s comme l'entete http qu'on envoie 9 months ago
b_b 1f3a1ad015 éviter des warnings sur exec=info en PHP 8 9 months ago
Christophe Laffont d39740cecc Suppression de l'argument `formulaire_action_sign` dans l'url ACTION 10 months ago
Cerdic eb4170130b Incrementer spip_version_code pour recompiler les squelettes 10 months ago
Cerdic 1e16d6a726 Securiser le retour de nettoyer_titre_email quand il est utilisé dans un squelette (Louka) spip-team/securite#4829 10 months ago
Cerdic bf099935b5 Masquer aussi les cookies sensibles dans $_SERVER['HTTP_COOKIE'] et $_ENV['HTTP_COOKIE'] (suite de #54 et spip-team/securite#4494) 10 months ago
Cerdic ae3d988495 echapper sel_db avant de la reinserer dans une hidden (mais c'est assez theorique car si on arrive la c'est qu'on a reussi a se connecter dessus, donc a priori le nom ne peut pas avoir de caracteres speciaux) spip-team/securite#3730 10 months ago
Cerdic 2629de6f08 securiser HTTP_HOST et REQUEST_URI dans url_de_base() spip-team/securite#3728 10 months ago
Cerdic 52d18a543f Reconnaitre les cookies secure *meme* si on utilise un cookie_prefix + permettre d'etendre la liste par defaut via la constante _COOKIE_SECURE_LIST spip-team/securite#3725 10 months ago
Cerdic 410a574064 Utiliser \b plutot que \s pour etre plus robuste sur la regexp de _PROTEGE_BLOCS spip-team/securite#3703 10 months ago
Cerdic 843ed3a52f securiser la construction de la regexp dans parametre_url spip-team/securite#3702 10 months ago
Cerdic 91b9a9f5ec securiser l'affichage de erreur quand il arrive de l'url spip-team/securite#3698 10 months ago
Cerdic 7108815fbe Securiser l'usage des var_mode_xx dans le debuggueur spip-team/securite#3602 10 months ago
Cerdic 707669e9d9 spip_htmlspecialchars() sur tous les affichages de variable dans le html + filtrer $adresse_ldap spip-team/securite#3597 10 months ago
Cerdic 9828ab4bad ne pas accepter un test_dir avec des .. dedans lors du test des repertoires en ecriture spip-team/securite#3596 10 months ago
Matthieu Marcillaud a25521b40f Version 4.0.6 10 months ago
b_b 12d62612e5 éviter que les paginations débordent sur petit écran 10 months ago
RastaPopoulos 599a27b2e9 Fix #5076 : réparer la fonction buguée en n'utilisant jamais les clés raccourcis qui sont non fiables, mais les autres vraies clés suivant la source demandée, celle du lien ou pas 10 months ago
Cerdic 688c1ec1ba Un peu de JS pour eviter les doubles clic sur un bouton action qui lance une action longue : lorsqu'un form.bouton_action_post est submit on disabled tous ses boutons, et on ajoute une class processing-submitted-form sur le form, a toute fin utile 10 months ago
Matthieu Marcillaud 0c00bd3f33 Ticket #5089 : ce bout de code renvoyait toujours false étrangement en PHP <= 7.4 11 months ago
Matthieu Marcillaud ac226860ed Éviter une arobase 11 months ago
Matthieu Marcillaud 935cab9896 Éviter un arobase qui cachait un warning dont on peut se passer : aucune fonction decompiler_xx n’attend 4 paramètres ! 11 months ago
Matthieu Marcillaud dd82d246df Phpdoc de types de retour dans cette fonction public_debusquer_dist() qui fait un peu... tout... 11 months ago