Sécuriser l'edition d'un auteur
- on envoie un Header
Content-Security-Policy: frame-ancestors 'none'sur les pages auteur et auteur_edit pour eviter toute manipulation via une iframe - (et pour ce faire un fix un bug sur
#HTTP_HEADER) - on empeche la validation de
#FORMULAIRE_EDITER_AUTEURvia une XMLHttpRequest dès qu'il y a changement de email ou mot de passe ou elevation du statut - (et pour ce faire un fix sur
refuser_traiter_formulaire_ajax()qui ne marchait pas si on avait un element avec un name ou id submit dans un form, ce qui était le cas de ce formulaire)
Le tout est indirectement lié à https://git.spip.net/spip-team/securite/issues/4832 et https://git.spip.net/spip-team/securite/issues/4833 même si pas explicitement cité par la proof of concept
(XSS qui permet de manipuler des forms en XMLHttpRequest et du coup d'escalader ses droits ou d'usurper le compte d'un admin/webmestre)