Merge branch '5.3' into 5.4

Release 5.3.25

Merge branch '5.3' into 5.4

Merge branch 'js-relocate-xss' into 5.3

Fix XSS vulnerability within the JavaScript relocator

If the relocation placeholder appeared multiple times within the source code,
it would also be replaced multiple times. This might allow an attacker to blow
up the HTML structure by including the placeholder within UGC.

Fix this issue by only ever replacing the last placeholder, which should be the
“real” one from footer.tpl. In the future this should be protected further by
including a random nonce to prevent this attack entirely.

Release 5.4.23

Merge pull request #5009 from WoltLab/attachment-csp

Add security headers to AttachmentPage

Prevent MIME sniffing for attachments

Configure a restrictive content-security-policy for attachments

Merge pull request #4995 from WoltLab/package-fix-installation

Fix handling of multi-step upgrades that need to happen in lock-step

Add assertion to PackageInstallationNodeBuilder::buildPluginNodes()

Fix handling of multi-step upgrades that need to happen in lock-step

Consider the following situation:

- Package com.example.foo is installed in version 1.0.0.
- Version 1.0.1 can be upgraded from 1.0.0.
- Version 1.0.2 can be upgraded from 1.0.1 and adds a dependency on
  com.woltlab.bar which is not yet installed.
- Version 1.0.3 can be upgraded from 1.0.2.

Now the PackageinstallationScheduler will build the following plan when it's
desired to upgrade com.woltlab.foo from 1.0.0 to 1.0.2:

- Upgrade com.woltlab.foo to 1.0.1
- Install com.woltlab.bar to satisfy the dependencies for 1.0.2
- Upgrade com.woltlab.foo to 1.0.2
- Upgrade com.woltlab.foo to 1.0.3

Now when build the nodes for this plan, the upgrade instructions for 1.0.2 will
not be detected, as the "previous package" logic used for iterative upgrades
will set the previous package of com.woltlab.foo in 1.0.2 to com.woltlab.bar.
Thus when upgrading to 1.0.2 the node builder will believe that com.woltlab.foo
is installed in 1.0.0 when it actually is already upgraded to 1.0.1.

Fix this by leveraging the $pendingPackages list which is already kept up to
date for dependency resolution.

Add safety check to PackageInstallationNodeBuilder to detect corrupted installation plans

Fix possible SMTP desync if a timeout strikes

see 9ae8a0e5da751e2abfcb00a621056c3a15ed009f

Explicitly handle `fgets()` returning `false` in SmtpEmailTransport

(cherry picked from commit a6ed0b255968e9ef44c6e37f7eb71fa4ad5256ea)

Merge pull request #4981 from WoltLab/smtp-transport-desync

Detect possible SMTP connection desync in SmtpEmailTransport

Detect possible SMTP connection desync in SmtpEmailTransport

see https://www.woltlab.com/community/thread/296850-smtp-probleme-nachdem-erste-mail-fehlschl%C3%A4gt/

Release 5.4.22

Unify “Datenbanktabelle” in de.xml

Fix typo in de.xml

see #4952

Improve character class definition in explanation for PIP identifiers

see #4952

Unify phrasing for PIP identifier explanations

see #4952

Improve phrasing in PIP identifier description

see #4952

Fix grammar in de.xml

Resolves #4952

Reported-by: Dennis Kraffczyk <github@dennis-kraffczyk.de>

Replace “Example” by “Beispiel” in de.xml

see #4952

Merge pull request #4921 from SoftCreatR/patch-2

Fix Facebook media provider

Fixed Facebook media provider

Usernames CAN contain periods, but they're currently not supported. There's also no need for a trailing slash.

Example: https://www.facebook.com/RaiPlay.it/videos/1059491774481091

Fix typo in de.xml

see e1fa341f67d936b14006a70962734504c1a165cd

Release 5.4.21

Merge pull request #4908 from WoltLab/upgrade-override-success

Add explicit “success” message to PackageEnableUpgradeOverrideForm

Improve wording for success message in PackageEnableUpgradeOverrideForm

Co-authored-by: Alexander Ebert <ebert@woltlab.com>

Add explicit “success” message to PackageEnableUpgradeOverrideForm

Updating minified JavaScript files

Update npm dependencies in extra/

Preserve the aspect ratio of scaled thumbnails

See https://www.woltlab.com/community/thread/296285-imageviewer-thumbnail-falsches-format/

Improve exception message in ImageUtil::createWebpVariant()

Stop flagging the new version 5.5 as “Evaluation”

See 9072d357de11116a15205073237498cab86dcd5c

Release 5.4.20

Enable the upgrade notice for 5.5 by default

See WoltLab/com.woltlab.website#602

Updating minified JavaScript files

Merge branch '5.3' into 5.4

Release 5.3.24

Merge branch '5.3' into 5.4

Merge pull request #4896 from WoltLab/abstract-category-edit-check-type

Verify that the category's objectType matches the form's objectType in AbstractCategoryEditForm

Merge pull request #4894 from WoltLab/abstract-category-edit

Make AbstractCategoryEditForm actually abstract

Merge pull request #4893 from WoltLab/tabmenu-select-invalid-container

Select the first erroneous tab in a form if multiple are erroneous

Improve type of exception for invalid object types in AbstractCategoryAddForm

This technically is a BC break, but this exception must not be caught anyway as
it indicates a clear programming error.

Make AbstractCategoryEditForm actually abstract

This form is not functional, unless an objectType is defined in a child class.

Handle invalid `<textarea>` elements when submitting a form within a TabMenu

Select the first erroneous tab in a form if multiple are erroneous

This was incorrectly migrated to TypeScript. Before TypeScript this used a
regular `for` loop counting indices, allowing the `return;` to correctly leave
the loop.

see https://www.woltlab.com/community/thread/296198-formbuilder-tabmenuformcontainer-required-js-fehler/

Add `DOM.Iterable` to tsconfig.json's `lib` list

This makes `NodeList`, `FormData` et al iterable. This is part of ES 2015 and
thus can be used.

Merge pull request #4891 from WoltLab/fetch-template-plugin

Deprecate the `{fetch}` template plugin

Deprecate the `{fetch}` template plugin

Merge pull request #4890 from WoltLab/upgrade-override-always-disable

Always allow disabling the upgrade override if enabled

Verify that the category's objectType matches the form's objectType in AbstractCategoryEditForm

Always allow disabling the upgrade override if enabled

Previously the following might happen:

- A community is running 5.3.
- They enable the upgrade override and upgrade to 5.4.
- They are offered the upgrade to 5.5, but don't want to do that, yet.
- They access the PackageEnableUpgradeOverrideForm to disable the upgrade.
- It complains that the search index was not yet migrated to InnoDB, preventing
  the disabling of the upgrade.

Update typescript

see 41b5a7f4fcc27a2fd4434d2feedb10e942930d51. We specifically upgrade
typescript also in 5.4 to ease merges, because the output of const enum
changed.

Bind event listeners on editor elements only once

The previous code caused the event listeners to be bound with every iteration. Every invocation touches the DOM by updating the title, which in return caused `observe.load()` to be triggered again. This causes the number of bound event listeners (and thus DOM updates!) to increase exponentionally.

See https://www.woltlab.com/community/thread/296068-dialog-container-vom-spoiler-tag-kann-das-forum-aufh%C3%A4ngen/

Merge branch '5.3' into 5.4

Update Guzzle

see guzzle/guzzle@a52f0440530b54fa079ce76e8c5d196a42cad981

Merge branch '5.3' into 5.4

Update guzzlehttp/psr7

This is a dependency for an updated Guzzle.

see guzzle/psr7@e98e3e6d4f86621a9b75f623996e6bbdeb4b9318
see guzzle/guzzle@a52f0440530b54fa079ce76e8c5d196a42cad981

Merge branch '5.3' into 5.4

Regenerate composer files

Match foreign keys independent of referenced column casing in PHP DDL

Early versions of MySQL 8 contained a bug that would return the column names of
the referenced table in lowercase whenever querying the FOREIGN KEY or when
showing the table's structure:

https://bugs.mysql.com/bug.php?id=88718

This issue also affects the any created database dumps and is not corrected
when importing the dump into a fixed version of MySQL:

https://bugs.mysql.com/bug.php?id=98976

Thus any instances that were ever dumped with an affected version of MySQL 8
will have foreign keys with a mismatching column case.

The FOREIGN KEY itself will be completely functional, MySQL does not care about
the casing of column names.

However the PHP DDL considers those FOREIGN KEYs to be different when
attempting to find an existing FOREIGN KEY to update, thus believing that the
FOREIGN KEY does not yet exist. As a result it attemtps to create it,
generating a name that is identical to the existing FOREIGN KEY's, leading to
conflicts when attempting to log the change into package_installation_sql_log.

Fix this issue by lowercasing the referenced column names when grabbing the
`->getDiffData()`. The PHP DDL will then find the existing FOREIGN KEY, but it
will realize that it is different when diffing the `->getData()`.

This will lead to the "broken" FOREIGN KEY being dropped and it being recreated
correctly, both avoiding the duplicate key error and also actually correcting
the column name.

Update Guzzle

see guzzle/guzzle@e3ff079b22820c2029d4c2a87796b6a0b8716ad8

Merge branch '5.3' into 5.4

Update Guzzle

see guzzle/guzzle@724562fa861e21a4071c652c8a159934e4f05592

Release 5.4.19

Missing comma

Aborting a previously successful worker failed

See https://www.woltlab.com/community/thread/295857-schlie%C3%9Fen-des-dialogs-beim-anzeigen-aktualisieren-unterbricht-das-aktualisieren/

Merge pull request #4852 from WoltLab/upgrade-to-55

Enable the upgrade to WoltLab Suite 5.5

Incorrect URL for the upgrade instructions

Enable the upgrade to WoltLab Suite 5.5

Based on 41f100782ce6abe92f144810b719c15e53bf4849

Merge pull request #4849 from WoltLab/package-override-55

Update checks in PackageEnableUpgradeOverrideForm for 5.5

Improve issue description in PackageEnableUpgradeOverrideForm

Fix PackageEnableUpgradeOverrideForm

The form differs from the update scripts by also having a title for each issue.

Update checks in PackageEnableUpgradeOverrideForm for 5.5

- update_com.woltlab.wcf_5.5_ensureInnoDbSearch.php

Drop duplicate empty line in RequestHandler

Preset was lacking the inversion of permissions

See https://www.woltlab.com/community/thread/295793-box-kopieren-option-wird-nicht-%C3%BCbernommen/

Force a refresh of CodeMirror on tab navigation

See https://www.woltlab.com/community/thread/295824-codemirror-gerne-mal-nicht-initialisiert/

Release 5.4.18

Adjust PHP versions in environment check for 5.5

see 598b72301a2cdcd0f3a0c1196f6fc1107e01650e

(cherry picked from commit c2ae090f6bf0a0eefd5eaf9796095a4ddd18c23a)

Updating minified JavaScript files

Release 5.4.17

Merge branch '5.3' into 5.4

Release 5.3.23

Merge branch '5.2' into 5.3

Release 5.2.21

Merge branch '3.1' into 5.2

Release 3.1.29

Update to setup-node@v3

Check the WCF_VERSION only if the result might have changed

Add workflow to check the WCF_VERSION

Fix code style

see 598b72301a2cdcd0f3a0c1196f6fc1107e01650e

Adjust PHP versions in environment check for 5.4

see 598b72301a2cdcd0f3a0c1196f6fc1107e01650e

Merge branch '5.3' into 5.4

Merge branch '5.2' into 5.3

Adjust PHP versions in environment check for 5.2

see 598b72301a2cdcd0f3a0c1196f6fc1107e01650e

Merge branch '3.1' into 5.2