www/ecrire/inc/headers.php

   1 <?php
   2
   3 /***************************************************************************\
   4  *  SPIP, Systeme de publication pour l'internet                           *
   5  *                                                                         *
   6  *  Copyright (c) 2001-2011                                                *
   7  *  Arnaud Martin, Antoine Pitrou, Philippe Riviere, Emmanuel Saint-James  *
   8  *                                                                         *
   9  *  Ce programme est un logiciel libre distribue sous licence GNU/GPL.     *
  10  *  Pour plus de details voir le fichier COPYING.txt ou l'aide en ligne.   *
  11 \***************************************************************************/
  12
  13
  14 if (!defined('_ECRIRE_INC_VERSION')) return;
  15
  16 // envoyer le navigateur sur une nouvelle adresse
  17 // en evitant les attaques par la redirection (souvent indique par 1 $_GET)
  18
  19 // http://doc.spip.org/@redirige_par_entete
  20 function redirige_par_entete($url, $equiv='', $status = 302) {
  21         if (!in_array($status,array(301,302)))
  22                 $status = 302;
  23
  24         $url = trim(strtr($url, "\n\r", "  "));
  25         # en theorie on devrait faire ca tout le temps, mais quand la chaine
  26         # commence par ? c'est imperatif, sinon l'url finale n'est pas la bonne
  27         if ($url[0]=='?')
  28                 $url = url_de_base().(_DIR_RESTREINT?'':_DIR_RESTREINT_ABS).$url;
  29         if ($url[0]=='#')
  30                 $url = self('&').$url;
  31
  32         if ($x = _request('transformer_xml'))
  33                 $url = parametre_url($url, 'transformer_xml', $x, '&');
  34
  35         if (defined('_AJAX') AND _AJAX)
  36                 $url = parametre_url($url, 'var_ajax_redir', 1, '&');
  37
  38         // ne pas laisser passer n'importe quoi dans l'url
  39         $url = str_replace(array('<','"'),array('&lt;','&quot;'),$url);
  40         // interdire les url inline avec des pseudo-protocoles :
  41         if (
  42                 (preg_match(",data:,i",$url) AND preg_match("/base64\s*,/i",$url))
  43                 OR preg_match(",(javascript|mailto):,i",$url)
  44                 )
  45                 $url ="./";
  46
  47         // Il n'y a que sous Apache que setcookie puis redirection fonctionne
  48
  49         if (!$equiv OR (strncmp("Apache", $_SERVER['SERVER_SOFTWARE'],6)==0) OR defined('_SERVER_APACHE')) {
  50                 @header("Location: " . $url);
  51                 $equiv="";
  52         } else {
  53                 @header("Refresh: 0; url=" . $url);
  54                 $equiv = "<meta http-equiv='Refresh' content='0; url=$url'>";
  55         }
  56         include_spip('inc/lang');
  57         if ($status!=302)
  58                 http_status($status);
  59         echo '<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">',"\n",
  60           html_lang_attributes(),'
  61 <head>',
  62           $equiv,'
  63 <title>HTTP '.$status.'</title>
  64 </head>
  65 <body>
  66 <h1>HTTP '.$status.'</h1>
  67 <a href="',
  68           quote_amp($url),
  69           '">',
  70           _T('navigateur_pas_redirige'),
  71           '</a></body></html>';
  72
  73         spip_log("redirige $status: $url");
  74
  75         exit;
  76 }
  77
  78 // http://doc.spip.org/@redirige_formulaire
  79 function redirige_formulaire($url, $equiv = '', $format='message') {
  80         if (!_AJAX
  81         AND !headers_sent()
  82         AND !_request('var_ajax')) {
  83                 redirige_par_entete(str_replace('&amp;','&',$url), $equiv);
  84         }
  85         // si c'est une ancre, fixer simplement le window.location.hash
  86         elseif($format=='ajaxform' AND preg_match(',^#[0-9a-z\-_]+$,i',$url)) {
  87                 return array(
  88                 // on renvoie un lien masque qui sera traite par ajaxCallback.js
  89                 "<a href='$url' name='ajax_ancre' style='display:none;'>anchor</a>",
  90                 // et rien dans le message ok
  91                 '');
  92         }
  93         else {
  94                 // ne pas laisser passer n'importe quoi dans l'url
  95                 $url = str_replace(array('<','"'),array('&lt;','&quot;'),$url);
  96
  97                 $url = strtr($url, "\n\r", "  ");
  98                 # en theorie on devrait faire ca tout le temps, mais quand la chaine
  99                 # commence par ? c'est imperatif, sinon l'url finale n'est pas la bonne
 100                 if ($url[0]=='?')
 101                         $url = url_de_base().(_DIR_RESTREINT?'':_DIR_RESTREINT_ABS).$url;
 102                 $url = str_replace('&amp;','&',$url);
 103                 spip_log("redirige formulaire ajax: $url");
 104                 include_spip('inc/filtres');
 105                 if ($format=='ajaxform')
 106                         return array(
 107                         // on renvoie un lien masque qui sera traite par ajaxCallback.js
 108                         '<a href="'.quote_amp($url).'" name="ajax_redirect"  style="display:none;">'._T('navigateur_pas_redirige').'</a>',
 109                         // et un message au cas ou
 110                         '<br /><a href="'.quote_amp($url).'">'._T('navigateur_pas_redirige').'</a>'
 111                         );
 112                 else // format message texte, tout en js inline
 113                         return
 114                 // ie poste les formulaires dans une iframe, il faut donc rediriger son parent
 115                 "<script type='text/javascript'>if (parent.window){parent.window.document.location.replace(\"$url\");} else {document.location.replace(\"$url\");}</script>"
 116                 . http_img_pack('searching.gif','')
 117                 . '<br />'
 118                 . '<a href="'.quote_amp($url).'">'._T('navigateur_pas_redirige').'</a>';
 119         }
 120 }
 121
 122 // http://doc.spip.org/@redirige_url_ecrire
 123 function redirige_url_ecrire($script='', $args='', $equiv='') {
 124         return redirige_par_entete(generer_url_ecrire($script, $args, true), $equiv);
 125 }
 126
 127 // http://doc.spip.org/@http_status
 128 function http_status($status) {
 129         global $REDIRECT_STATUS, $flag_sapi_name;
 130         static $status_string = array(
 131                 200 => '200 OK',
 132                 204 => '204 No Content',
 133                 301 => '301 Moved Permanently',
 134                 302 => '302 Found',
 135                 304 => '304 Not Modified',
 136                 401 => '401 Unauthorized',
 137                 403 => '403 Forbidden',
 138                 404 => '404 Not Found'
 139         );
 140
 141         if ($REDIRECT_STATUS && $REDIRECT_STATUS == $status) return;
 142
 143         $php_cgi = ($flag_sapi_name AND preg_match(",cgi,i", @php_sapi_name()));
 144         if ($php_cgi)
 145                 header("Status: ".$status_string[$status]);
 146         else
 147                 header("HTTP/1.0 ".$status_string[$status]);
 148 }
 149
 150 // Retourne ce qui va bien pour que le navigateur ne mette pas la page en cache
 151 // http://doc.spip.org/@http_no_cache
 152 function http_no_cache() {
 153         if (headers_sent())
 154                 { spip_log("http_no_cache arrive trop tard"); return;}
 155         $charset = empty($GLOBALS['meta']['charset']) ? 'utf-8' : $GLOBALS['meta']['charset'];
 156
 157         // selon http://developer.apple.com/internet/safari/faq.html#anchor5
 158         // il faudrait aussi pour Safari
 159         // header("Cache-Control: post-check=0, pre-check=0", false)
 160         // mais ca ne respecte pas
 161         // http://www.w3.org/Protocols/rfc2616/rfc2616-sec14.html#sec14.9
 162
 163         header("Content-Type: text/html; charset=$charset");
 164         header("Expires: 0");
 165         header("Last-Modified: " .gmdate("D, d M Y H:i:s"). " GMT");
 166         header("Cache-Control: no-store, no-cache, must-revalidate");
 167         header("Pragma: no-cache");
 168 }
 169
 170 ?>