Add proper return types to StringUtil methods

Merge branch '5.5'

Update composer dependencies

Merge branch '5.5'

Merge branch '5.4' into 5.5

Merge branch '5.3' into 5.4

Merge pull request #4896 from WoltLab/abstract-category-edit-check-type

Verify that the category's objectType matches the form's objectType in AbstractCategoryEditForm

Merge pull request #4895 from WoltLab/abstract-ajax-action

Make AbstractAjaxAction actually abstract

Merge pull request #4894 from WoltLab/abstract-category-edit

Make AbstractCategoryEditForm actually abstract

Merge pull request #4893 from WoltLab/tabmenu-select-invalid-container

Select the first erroneous tab in a form if multiple are erroneous

Make AbstractAjaxAction actually abstract

Without a controller that inherits from it, the AbstractAjaxAction will do
absolutely nothing useful:

- It fires events that cannot usefully be handled in a generic way.
- It sends an empty HTML response (i.e. a white page).

Improve type of exception for invalid object types in AbstractCategoryAddForm

This technically is a BC break, but this exception must not be caught anyway as
it indicates a clear programming error.

Make AbstractCategoryEditForm actually abstract

This form is not functional, unless an objectType is defined in a child class.

Handle invalid `<textarea>` elements when submitting a form within a TabMenu

Select the first erroneous tab in a form if multiple are erroneous

This was incorrectly migrated to TypeScript. Before TypeScript this used a
regular `for` loop counting indices, allowing the `return;` to correctly leave
the loop.

see https://www.woltlab.com/community/thread/296198-formbuilder-tabmenuformcontainer-required-js-fehler/

Add `DOM.Iterable` to tsconfig.json's `lib` list

This makes `NodeList`, `FormData` et al iterable. This is part of ES 2015 and
thus can be used.

Merge pull request #4892 from WoltLab/remove-fetch-template-plugin

Remove the FetchCompilerTemplatePlugin

Remove the FetchCompilerTemplatePlugin

See 2a5ce139d53d3ec7232013d4492d6e322b262cfb (which deprecated `{fetch}`) and
bfddcab778b25ece1136eaff4b688812495b96d5 which always enabled the allow list of
template modifiers, preventing `file_get_contents` even outside of enterprise
mode.

Update fileDelete.xml

Merge branch '5.5'

Merge remote-tracking branch 'origin/5.5' into 5.5

Merge branch '5.4' into 5.5

Merge pull request #4891 from WoltLab/fetch-template-plugin

Deprecate the `{fetch}` template plugin

Deprecate the `{fetch}` template plugin

Add support for hover color in the user menu

See https://www.woltlab.com/community/thread/296209-wcfusermenulinkactive-fehlt/

Merge branch '5.4' into 5.5

Merge pull request #4890 from WoltLab/upgrade-override-always-disable

Always allow disabling the upgrade override if enabled

Verify that the category's objectType matches the form's objectType in AbstractCategoryEditForm

Keep the unread indicator of user menu tabs in sync

See https://www.woltlab.com/community/thread/295243-pro-und-kontra-neues-kontrollzentrum/?postID=1897875#post1897875

Always show the unread indicator of user menu tabs

Always allow disabling the upgrade override if enabled

Previously the following might happen:

- A community is running 5.3.
- They enable the upgrade override and upgrade to 5.4.
- They are offered the upgrade to 5.5, but don't want to do that, yet.
- They access the PackageEnableUpgradeOverrideForm to disable the upgrade.
- It complains that the search index was not yet migrated to InnoDB, preventing
  the disabling of the upgrade.

Apply the special box styling to the title

See https://www.woltlab.com/community/thread/296149-styling-infoboxen/

Preselect the hex input of the color picker

See https://www.woltlab.com/community/thread/296153-farbw%C3%A4hler-ohne-fokus/

Rebuild compiled JavaScript

see 4bdd501368e5836f54872689ec710734e8fbab0d

Fix the inconsistent return value of notifications

The API returned a different data structure when there are no notifications to show compared to when there are items. This causes the JS-API to break, because it always expects the later data structure.

This is a regression of ec1a4a80d3a8f89105d6012ec857a7115f41c97e

See https://www.woltlab.com/community/thread/296174-benachrichtigungen-werden-nicht-mehr-angezeigt/

Fix the unconditional access to an optional element

See https://www.woltlab.com/community/thread/296182-js-fehler-beim-scrollen-in-mobiler-ansicht/

Merge branch '5.5'

Add a unique CSS class to the article page section

See #4887

Merge pull request #4889 from WoltLab/5.5-fix-delete-button-unknown-images

Fix delete button appears on failed uploads

Merge tag '5.5.0_RC_3' into 5.5

Fix shrinking of content navigation buttons in desktop version

https://github.com/WoltLab/WCF/commit/a3e4ab16d9a566149de88e2d4b649accc768f012 caused the text on the buttons to be severely shortened when the content title became too long.

Fix delete button appears on failed uploads

Release 5.5.0 RC 3

Internal release 5.5.0 RC 3

Updating minified JavaScript files

Merge pull request #4886 from WoltLab/user-menu-incorrect-counter-update

Update the Unread Counter Using the Server-side Counter

Merge branch '5.5'

Update focus-trap and tabbable

Merge branch '5.5'

Merge branch '5.4' into 5.5

Update typescript

see 41b5a7f4fcc27a2fd4434d2feedb10e942930d51. We specifically upgrade
typescript also in 5.4 to ease merges, because the output of const enum
changed.

Update gsactions/commit-message-checker

Update npm dependencies

Update the unread badge using the server-side data

Update the unread badge using the server-side data

The previous implementation relied on the number of unread items currently visible in the user menu. This caused an incorrect number shown for >10 unread items.

Notice: This is a last-minute API change to report the correct number from the server-side.

Fixes #4877

Preserve the content when removing selection markers

In some rare cases the typed-in content could be placed within the selection markers, causing those to be removed whenever markers are being stripped.

This is a follow up for dd829b643d403f403fae8748a8f00e2e448af490 which already mitigates some of these issues by more carefully handling selections.

Merge pull request #4883 from WoltLab/main-menu-data-binding

Partial Data Binding for the Main Menu

Use the `null` value to indicate a missing identifier

Merge pull request #4884 from WoltLab/diactoros-requestFilter

Explicitly trust `x-forwarded-proto` for Diactoros' ServerRequest

Specify `null` for the superglobals in ServerRequestFactory::fromGlobals()

Diactoros does not use `$_COOKIE` internally, but parses the `Cookie` header
instead, because PHP mangles cookie names when parsing into `$_COOKIE`.

Do not use named parameters for ServerRequestFactory::fromGlobals()

Laminas does not guarantee backwards compatibility for parameter names.

Explicitly trust `x-forwarded-proto` for Diactoros' ServerRequest

This is required to future-proof the Diactoros configuration to be consistent
with RouteHandler::secureConnection().

see https://github.com/laminas/laminas-diactoros/blob/c272a93fc716456599d26bf7cc3281ccb708dabf/docs/book/v2/forward-migration.md

Sync the unread counters of the main menu and the mobile menu

Expose the identifier of a menu item

Merge branch '5.5'

Tighten up composer constraints

Close the mobile navigation drop-down on page scroll

All drop-down menus are expected to close whenever the page is being scrolled. This is implemented for regular drop-down menus, but this one bypasses the general API.

See https://www.woltlab.com/community/thread/296092-fenster-zitieren-inhalt-melden-%C3%BCberlagert-men%C3%BC-mobil/

Update composer dependencies

This fixes a Diactoros regression in e707bb4c8f19bd627f06738e64e5c823f88dc4f7.

Delay the auto focus of the submit button

Safari delays the execution of the `blur` event on the document which causes the focus shift to happen too early.

Delaying it by two event cycles are enough to provide a consistent experience and to avoid conflicts with the focus trap.

See https://www.woltlab.com/community/thread/296069-best%C3%A4tigung-bei-installation-von-paket-%C3%BCber-entwickler-werkzeuge-nicht-direkt-pe/

Preserve the minimum height of the user header without ranks

The `.userMenuItemSingleLine` class is shared with other elements that are not as tall as the user header.

The `min-height: 0` will cause the user header to collapse too much when the user rank module is disabled.

See https://www.woltlab.com/community/thread/296134-darstellungsfehler-im-kontrollzentrum-ohne-rangmodul/

Fix missing check if conditions are available when adding a box

Merge branch '5.5' of https://github.com/WoltLab/WCF into 5.5

Merge branch '5.5'

Ensure that avatars are world-readable in UserProfileAction::setAvatar()

Fixes #4769

Update composer dependencies

Merge branch '5.5'

Merge branch '5.5' of https://github.com/WoltLab/WCF into 5.5

Fix missing twitter icon

Merge pull request #4882 from WoltLab/secure-package-download

Improve the Security of the Plugin-Store StoreCode

Clearly mark the StoreCode as sensitive

The Plugin-Store StoreCode can contain credentials that are considered to be sensitive and should not be shared with third parties.

This change adds a unique prefix that serves as a warning to prevent users from unintentionally sharing these credentials with others.

In addition, this unique prefix makes it possible to block this string from appearing in messages using the censorship feature.

Guarantee integrity of packages downloaded via a Plugin-Store StoreCode

The package system was unaware of the context of an installation request and permitted the download from unintended package servers.

This can cause the download to be initiated from a different server than the user expected, potentially causing the download of a modified version.

This commit fixes this issue by restricting the package sources to official servers only when the download via the Plugin-Store‘s StoreCode is requested.

Explicitly define the text color in the mobile menu

The elements previously implicitly inherited the text color from the surrounding HTML context rather than the element itself. This caused the colors from the content area to bleed into the mobile menu.

See https://www.woltlab.com/community/thread/295243-pro-und-kontra-neues-kontrollzentrum/?postID=1897430#post1897430 ff

Merge pull request #4881 from WoltLab/controller-transform

Use ControllerMap::transformController() in RoutingCacheBuilder::getCaseInsensitiveControllers()

Force restore saved selections after inserting links into the editor

Redactor‘s selection handling is very fragile and “forgetting” to restore the selection can cause some very strange side-effects.

The user will start typing inside a selection marker, which will not cause any visual effects, but the content will get lost once the editor removes the markers.

See https://www.woltlab.com/community/thread/296022-einf%C3%BCgen-von-links-im-editor-unter-ipados/
See https://www.woltlab.com/community/thread/296116-einf%C3%BCgen-von-links-im-editor-unter-ipados-text-verschwindet/
See https://www.woltlab.com/community/thread/294753-text-wird-beim-speichern-abgeschnitten/

Merge branch '5.5' of https://github.com/WoltLab/WCF into 5.5

Fix sorting of articles by number of comments

Sorting by comments resulted in an exception because the comments column is no longer present in the article table.

Delegate to ->classNameToControllerName() in RoutingCacheBuilder::getCaseInsensitiveControllers()

Strengthen check for non-instantiable classes in ControllerMap::getClassData()

Call `\strtolower()` only once in ControllerMap::transformController()

Use ControllerMap::transformController() in RoutingCacheBuilder::getCaseInsensitiveControllers()

The implementation is absolutely identical and thus can and should be unified.

A behavioral change without any externally visible effect is introduced: For
`TAJAXException` the last part (`Exception`) is no longer stripped. This is
completely irrelevant, as `ControllerMap::getLegacyClassData()` ignores all
classNames that do not end in Action, Form, or Page.

Remove obsolete property accesss in RoutingCacheBuilder::getCaseInsensitiveControllers()

see b9d282d542780d231c3ffe79a6eb8b1bcabf0bd6

Merge pull request #4880 from WoltLab/broken-controller

Stop faking custom URLs for controllers classes with exactly two consecutive uppercase characters

Stop faking custom URLs for controllers classes with exactly two consecutive uppercase characters

This was introduced in 519f15c7700222357952e8cab41bbe960730c7fd and its purpose
is not entirely clear: Everything works identically even without this, even in
WoltLab Suite 5.5.

RoutingCacheBuilder is only ever used within ControllerMap and within
ControllerMap there are just a few locations where custom URLs are processed:

- resolve(): This enforces that renamed controllers are accessed via their
  canonical URL. Not relevant here, because we are already working with the
  canonical URL and it's not an intentional rename.
- resolveCustomController(): This is what we intent to avoid. If this method
  does not match, then `->resolve()` will correctly match.
- lookup(): `self::transformController()` will perform the correct
  transformation.
- lookupCmsPage(): Not relevant, because we do not deal with CMS pages.

Use `/` as regex delimiter in ControllerMap to enable syntax highlighting in IDE

Merge pull request #4879 from WoltLab/tmp-fallback-remove

Remove fallbacks from FileUtil::getTempFolder()

Remove fallbacks from FileUtil::getTempFolder()

The temporary folder within WCF_DIR is automatically created during WCFSetup
when the `.htaccess` is extracted. Based on how the method's written, it is
exceedingly unlikely that the system's temporary folder is used and it
indicates a severe misconfiguration. Remove the fallback for simplicity.

see e41dfd007b12baed65ab7679fb679e53bcd2adf5

Merge pull request #4873 from WoltLab/lookup-request-route-wcf-fallback

Remove fallback to 'wcf' in LookupRequestRoute

Merge pull request #4876 from WoltLab/controllermap-custom-url-redirect

Remove fallback to wcf's custom URLs in ControllerMap::resolve()

Merge pull request #4875 from WoltLab/sensitive-parameter-value

Use \SensitiveParameterValue as the replacement value in exception handling

Fix typo in parameter type name in ControllerMap

see a3ae99cdfc70906b0ffffa51df4e3a060141dff2