Merge branch '5.5'

Update focus-trap and tabbable

Merge branch '5.5'

Merge branch '5.4' into 5.5

Update typescript

see 41b5a7f4fcc27a2fd4434d2feedb10e942930d51. We specifically upgrade
typescript also in 5.4 to ease merges, because the output of const enum
changed.

Update gsactions/commit-message-checker

Update npm dependencies

Preserve the content when removing selection markers

In some rare cases the typed-in content could be placed within the selection markers, causing those to be removed whenever markers are being stripped.

This is a follow up for dd829b643d403f403fae8748a8f00e2e448af490 which already mitigates some of these issues by more carefully handling selections.

Merge pull request #4883 from WoltLab/main-menu-data-binding

Partial Data Binding for the Main Menu

Use the `null` value to indicate a missing identifier

Merge pull request #4884 from WoltLab/diactoros-requestFilter

Explicitly trust `x-forwarded-proto` for Diactoros' ServerRequest

Specify `null` for the superglobals in ServerRequestFactory::fromGlobals()

Diactoros does not use `$_COOKIE` internally, but parses the `Cookie` header
instead, because PHP mangles cookie names when parsing into `$_COOKIE`.

Do not use named parameters for ServerRequestFactory::fromGlobals()

Laminas does not guarantee backwards compatibility for parameter names.

Explicitly trust `x-forwarded-proto` for Diactoros' ServerRequest

This is required to future-proof the Diactoros configuration to be consistent
with RouteHandler::secureConnection().

see https://github.com/laminas/laminas-diactoros/blob/c272a93fc716456599d26bf7cc3281ccb708dabf/docs/book/v2/forward-migration.md

Sync the unread counters of the main menu and the mobile menu

Expose the identifier of a menu item

Merge branch '5.5'

Tighten up composer constraints

Close the mobile navigation drop-down on page scroll

All drop-down menus are expected to close whenever the page is being scrolled. This is implemented for regular drop-down menus, but this one bypasses the general API.

See https://www.woltlab.com/community/thread/296092-fenster-zitieren-inhalt-melden-%C3%BCberlagert-men%C3%BC-mobil/

Update composer dependencies

This fixes a Diactoros regression in e707bb4c8f19bd627f06738e64e5c823f88dc4f7.

Delay the auto focus of the submit button

Safari delays the execution of the `blur` event on the document which causes the focus shift to happen too early.

Delaying it by two event cycles are enough to provide a consistent experience and to avoid conflicts with the focus trap.

See https://www.woltlab.com/community/thread/296069-best%C3%A4tigung-bei-installation-von-paket-%C3%BCber-entwickler-werkzeuge-nicht-direkt-pe/

Preserve the minimum height of the user header without ranks

The `.userMenuItemSingleLine` class is shared with other elements that are not as tall as the user header.

The `min-height: 0` will cause the user header to collapse too much when the user rank module is disabled.

See https://www.woltlab.com/community/thread/296134-darstellungsfehler-im-kontrollzentrum-ohne-rangmodul/

Fix missing check if conditions are available when adding a box

Merge branch '5.5' of https://github.com/WoltLab/WCF into 5.5

Merge branch '5.5'

Ensure that avatars are world-readable in UserProfileAction::setAvatar()

Fixes #4769

Update composer dependencies

Merge branch '5.5'

Merge branch '5.5' of https://github.com/WoltLab/WCF into 5.5

Fix missing twitter icon

Merge pull request #4882 from WoltLab/secure-package-download

Improve the Security of the Plugin-Store StoreCode

Clearly mark the StoreCode as sensitive

The Plugin-Store StoreCode can contain credentials that are considered to be sensitive and should not be shared with third parties.

This change adds a unique prefix that serves as a warning to prevent users from unintentionally sharing these credentials with others.

In addition, this unique prefix makes it possible to block this string from appearing in messages using the censorship feature.

Guarantee integrity of packages downloaded via a Plugin-Store StoreCode

The package system was unaware of the context of an installation request and permitted the download from unintended package servers.

This can cause the download to be initiated from a different server than the user expected, potentially causing the download of a modified version.

This commit fixes this issue by restricting the package sources to official servers only when the download via the Plugin-Store‘s StoreCode is requested.

Explicitly define the text color in the mobile menu

The elements previously implicitly inherited the text color from the surrounding HTML context rather than the element itself. This caused the colors from the content area to bleed into the mobile menu.

See https://www.woltlab.com/community/thread/295243-pro-und-kontra-neues-kontrollzentrum/?postID=1897430#post1897430 ff

Merge pull request #4881 from WoltLab/controller-transform

Use ControllerMap::transformController() in RoutingCacheBuilder::getCaseInsensitiveControllers()

Force restore saved selections after inserting links into the editor

Redactor‘s selection handling is very fragile and “forgetting” to restore the selection can cause some very strange side-effects.

The user will start typing inside a selection marker, which will not cause any visual effects, but the content will get lost once the editor removes the markers.

See https://www.woltlab.com/community/thread/296022-einf%C3%BCgen-von-links-im-editor-unter-ipados/
See https://www.woltlab.com/community/thread/296116-einf%C3%BCgen-von-links-im-editor-unter-ipados-text-verschwindet/
See https://www.woltlab.com/community/thread/294753-text-wird-beim-speichern-abgeschnitten/

Merge branch '5.5' of https://github.com/WoltLab/WCF into 5.5

Fix sorting of articles by number of comments

Sorting by comments resulted in an exception because the comments column is no longer present in the article table.

Delegate to ->classNameToControllerName() in RoutingCacheBuilder::getCaseInsensitiveControllers()

Strengthen check for non-instantiable classes in ControllerMap::getClassData()

Call `\strtolower()` only once in ControllerMap::transformController()

Use ControllerMap::transformController() in RoutingCacheBuilder::getCaseInsensitiveControllers()

The implementation is absolutely identical and thus can and should be unified.

A behavioral change without any externally visible effect is introduced: For
`TAJAXException` the last part (`Exception`) is no longer stripped. This is
completely irrelevant, as `ControllerMap::getLegacyClassData()` ignores all
classNames that do not end in Action, Form, or Page.

Remove obsolete property accesss in RoutingCacheBuilder::getCaseInsensitiveControllers()

see b9d282d542780d231c3ffe79a6eb8b1bcabf0bd6

Merge pull request #4880 from WoltLab/broken-controller

Stop faking custom URLs for controllers classes with exactly two consecutive uppercase characters

Stop faking custom URLs for controllers classes with exactly two consecutive uppercase characters

This was introduced in 519f15c7700222357952e8cab41bbe960730c7fd and its purpose
is not entirely clear: Everything works identically even without this, even in
WoltLab Suite 5.5.

RoutingCacheBuilder is only ever used within ControllerMap and within
ControllerMap there are just a few locations where custom URLs are processed:

- resolve(): This enforces that renamed controllers are accessed via their
  canonical URL. Not relevant here, because we are already working with the
  canonical URL and it's not an intentional rename.
- resolveCustomController(): This is what we intent to avoid. If this method
  does not match, then `->resolve()` will correctly match.
- lookup(): `self::transformController()` will perform the correct
  transformation.
- lookupCmsPage(): Not relevant, because we do not deal with CMS pages.

Use `/` as regex delimiter in ControllerMap to enable syntax highlighting in IDE

Merge pull request #4879 from WoltLab/tmp-fallback-remove

Remove fallbacks from FileUtil::getTempFolder()

Remove fallbacks from FileUtil::getTempFolder()

The temporary folder within WCF_DIR is automatically created during WCFSetup
when the `.htaccess` is extracted. Based on how the method's written, it is
exceedingly unlikely that the system's temporary folder is used and it
indicates a severe misconfiguration. Remove the fallback for simplicity.

see e41dfd007b12baed65ab7679fb679e53bcd2adf5

Merge pull request #4873 from WoltLab/lookup-request-route-wcf-fallback

Remove fallback to 'wcf' in LookupRequestRoute

Merge pull request #4876 from WoltLab/controllermap-custom-url-redirect

Remove fallback to wcf's custom URLs in ControllerMap::resolve()

Merge pull request #4875 from WoltLab/sensitive-parameter-value

Use \SensitiveParameterValue as the replacement value in exception handling

Fix typo in parameter type name in ControllerMap

see a3ae99cdfc70906b0ffffa51df4e3a060141dff2

Add proper types to ControllerMap

Remove fallback to wcf's custom URLs in ControllerMap::resolve()

This fallback was introduced in the very first version of the forced redirect
to the custom URL for requests that directly request the controller class name
in c2de61fb187cf357cd9653693a8fa7cad39ca6ef.

However this might make controllers entirely inaccessible, because the custom
URLs are scoped to the application without any fallback to 'wcf'. This is
reproducible even in the 5.5 branch before the refactoring of the routing
logic.

Consider the following example:

- 'wcf' has the AccountManagementForm
- 'blog' also has an AccountManagement controller
- wcf's AccountManagementForm has the custom controller 'kontoverwaltung'

Now the following happens:

- Links to wcf's AccountManagement will be generated as /index.php?kontoverwaltung
- Links to blog's AccountManagement will be generated as /blog/index.php?account-management

So far so good, this is the expected behavior. Further:

- Accessing /index.php?account-management redirects to /index.php?kontoverwaltung

This is correct: The canonical URL is 'kontoverwaltung' and the page loads, however:

- Accessing /blog/index.php?account-management redirects to /blog/index.php?kontoverwaltung

This is not correct: The blog does not have a custom controller
'kontoverwaltung'. Due to the fallback in LookupRequestRoute, this will route
to wcf's AccountManagement. This fallback will be removed in PR #4873. If that
PR is merged, then instead of routing to wcf's AccountManagement, this will
result in a 404.

Either way: Blog's AccountManagement will be entirely inaccessible and
LinkHandler will generate broken links.

Fix this by removing this incorrect fallback. Accessing
/blog/index.php?account-management will now behave as if wcf's
AccountManagement wasn't renamed.

Merge branch '5.5'

Merge pull request #4874 from WoltLab/routeData-is-default-controller

Clean up RequestHandler::buildRequest()

Use \SensitiveParameterValue as the replacement value in exception handling

Use the standard PHP 8.2 replacement value, instead of the `[redacted]` string
for consistency. This works as expected, because `SensitiveParameterValue` is
polyfilled.

Refresh the mobile unread indicator on DOM update

The unread indicator might become out of sync if the menu is closed, but an action causes the last remaining element(s) to be marked as read.

Using a `MutationObserver` removes the need of signaling such change directly by all actions, for example a “Mark All as Read” button.

See https://www.woltlab.com/community/thread/296063-alle-als-gelesen-markieren-entfernt-badge-nicht/

Detect active menu items that have no children

Links with children have the `active` class set on them, but links without have it placed on the parent instead.

See https://www.woltlab.com/community/thread/296045-mobiles-hauptmen%C3%BC-teilweise-nicht-vorausgew%C3%A4hlt-wenn-man-auf-einer-unterseite-is/

Remove `isDefaultController` from request metadata

This is currently unused and its value is questionable at best.

Stop adding the `isDefaultController` value to `$routeData` in RequestHandler

The `$routeData` array is only processed locally, except when it is passed to
LinkHandler for renamed controllers (which can't happen for default
controllers), thus this is completely redundant with simply checking
`->isDefaultController()` in the other places, with the latter being much more
clear, because one does not need to think about where the `$routeData` might
end up.

Ensure that RouteHandler strips the `isDefaultController` key from $routeData

Merge pull request #4872 from WoltLab/request-route-cleanup

Clean up route implementation

Mark LookupRequestRoute as final

Inline DynamicRequestRoute::getControllerName()

Remove fallback to 'wcf' in LookupRequestRoute

This fallback exists since c2de61fb187cf357cd9653693a8fa7cad39ca6ef which is
the first commit which made custom URLs actually functional.

The purpose of this fallback is unclear, it might be related to 'wcf' not
having its own frontend before WoltLab Suite 3.0 and logic expecting that wcf
controllers are accessible from any app.

What's certain is, that this fallback is pretty intransparent, because it:

1) Only affects custom URLs.
2) Only affects controllers assigned to the 'wcf' app.
3) Only affects controllers where the accessed application does not have the
   same customURL in its inventory.

Consider this example:

- 'wcf', 'wbb' and 'blog' are installed.
- wcf's AccountManagement is renamed to `my-controller`
- wbb's WatchedThreadList is also renamed to `my-controller`
- blog is left as is

Now accessing:

- `/index.php?my-controller` goes to AccountManagement
- `/blog/index.php?my-controller` goes to AccountManagement
- `/forum/index.php?my-controller` goes to … WatchedThreadList

which most certainly violates the user's expectations.

See also 4da8c1de463ca71f09d284f3529c1d499a7ac8f8 which adjusts a very similar
feature.

Preserve the scroll position in CodeMirror on navigation

The previous code stopped working after the update of CodeMirror.

See https://www.woltlab.com/community/thread/296010-nach-css-%C3%A4nderung-nicht-an-selber-stelle/

Explicitly implement StaticRequestRoute::isACP()

The removes dependencies on the implementation in DynamicRequestRoute, possibly
allowing StaticRequestRoute to not inherit from DynamicRequestRoute in the
future.

Remove LookupRequestRoute::setIsACP()

This method always throws and is no longer required by the interface.

Remove IRequestRoute::setIsACP()

This is not a method that can usefully be generically called, because one needs
to know how the properties of the route implementation to usefully modify it.
There are already route implementations that always throw in this method.

Improve typing in RequestHandler

Remove obsolete import

see fd99dc13a68da8f29a5c17ec5d564672304fc7dd

Inline RequestHandler::redirect()

see d8b9780a06174bee45b7e911b945ce5644259146

Merge branch '5.4' into 5.5

Bind event listeners on editor elements only once

The previous code caused the event listeners to be bound with every iteration. Every invocation touches the DOM by updating the title, which in return caused `observe.load()` to be triggered again. This causes the number of bound event listeners (and thus DOM updates!) to increase exponentionally.

See https://www.woltlab.com/community/thread/296068-dialog-container-vom-spoiler-tag-kann-das-forum-aufh%C3%A4ngen/

Merge pull request #4871 from WoltLab/route-data

Clean up default controller processing

Improve RequestHandler::buildRequest()'s control flow

Perform the default controller processing within a single block, instead of
first branching based on whether the ACP or frontend was accessed.

Unify the handling of the default controller for ACP requests

Enforce that routes return a controller name XOR the default controller

It is not useful to return both a name and pretending that it's the default
controller, as the controller name would be overriden anyway.

see 5da310cc32d5300cb393dd127ce5ec7abc9315bf

Merge pull request #4869 from WoltLab/handle-default-controller

Remove dead branch in RequestHandler::handleDefaultController()

Inline RequestHandler::handleDefaultController()

This makes the data flow easier to grasp, as one does not need to jump around
in the file.

Remove dead branch in RequestHandler::handleDefaultController()

It turns out that that the third and last remaining change of
000c0c8a26491708b2af995bdd6f0e627cc75161 is also broken.

After effectively reverting / removing the logic in the other two files
modified by that commit in e0976fcfdbeeafc80bc202f80ae2f946326d465d and
416dafddb18a3e82750c6e8ca089d4f9132b39dc, this commit cleans up the last
change.

Since 000c0c8a26491708b2af995bdd6f0e627cc75161 is is impossible for this
redirect to happen and the reason is simple:

The logic will only ever be executed for non-CMS pages, as these are the only
ones where `->lookupDefaultController()` returns an application.

The `controller` return value of `->lookupDefaultController()` will contain the
`routePart` (i.e. `board-list`). However the application overrides are keyed by
the controller name (i.e. `BoardList`), causing the lookup to always fail,
resulting in the given `$application` being returned as-is in `$override`. As
both values are identical, the branch will never be taken and the redirect will
never be executed.

Replace emptiness check of $this->routeData with strict comparison in LookupRequestRoute

Add return type to ControllerMap::resolveCustomController()

Rename local `$controller` to `$routePart` in ControllerMap::lookupDefaultController()

Make usage of ControllerMap::$landingPages easier to inspect

By removing the use of the local variable one can simple search for
$this->landingPages to find all locations.

Mark ControllerMap as final

Fix appearance of content navigation buttons in mobile version

Buttons went beyond the edge of the screen instead of wrapping.

Reinstall all composer packages

Tighten up composer constraints

Merge branch '5.5'

Merge remote-tracking branch 'origin/5.5' into 5.5

Merge branch '5.4' into 5.5

Merge branch '5.3' into 5.4

Update Guzzle

see guzzle/guzzle@a52f0440530b54fa079ce76e8c5d196a42cad981

Merge branch '5.4' into 5.5

Merge branch '5.3' into 5.4

Update guzzlehttp/psr7

This is a dependency for an updated Guzzle.

see guzzle/psr7@e98e3e6d4f86621a9b75f623996e6bbdeb4b9318
see guzzle/guzzle@a52f0440530b54fa079ce76e8c5d196a42cad981

Merge branch '5.4' into 5.5

Merge branch '5.3' into 5.4