Roundcubemail devel
parent: a8d7c659 | patch | commit | ignore whitespace
thomascube
2011-03-22 ec045b0a24bbb0de2b203961b453a9f5bd640f34 
Revert r4609 and use stateless request tokens; no need to save them in session and thus no keep-alive necessary; fixes #1487829

4 files modified
20 ■■■■■ changed files
CHANGELOG 1 ●●●● patch | view | raw | blame | history
index.php 6 ●●●●● patch | view | raw | blame | history
program/include/rcmail.php 11 ●●●●● patch | view | raw | blame | history
program/js/app.js 2 ●●● patch | view | raw | blame | history 
 CHANGELOG


@@ -1,6 +1,7 @@


CHANGELOG Roundcube Webmail


===========================




- Stateless request tokens. No keep-alive necessary on login page (#1487829)


- PEAR::Net_SMTP 1.5.1


- Allow multiple concurrent compose sessions


- Force names of unique constraints in PostgreSQL DDL




 index.php


@@ -154,9 +154,7 @@




// not logged in -> show login page


if (empty($RCMAIL->user->ID)) {


  if ($RCMAIL->action == 'keep-alive')


    $OUTPUT->send();


  else if ($OUTPUT->ajax_call)


  if ($OUTPUT->ajax_call)


    $OUTPUT->redirect(array(), 2000);




  if (!empty($_REQUEST['_framed']))


@@ -184,7 +182,7 @@




  // check client X-header to verify request origin


  if ($OUTPUT->ajax_call) {


    if (rc_request_header('X-Roundcube-Request') != $RCMAIL->get_request_token()) {


    if (rc_request_header('X-Roundcube-Request') != $RCMAIL->get_request_token() && !$RCMAIL->config->get('devel_mode')) {


      header('HTTP/1.1 404 Not Found');


      die("Invalid Request");


    }




 program/include/rcmail.php


@@ -1106,12 +1106,8 @@


   */


  public function get_request_token()


  {


    $key = $this->task;




    if (!$_SESSION['request_tokens'][$key])


      $_SESSION['request_tokens'][$key] = md5(uniqid($key . mt_rand(), true));




    return $_SESSION['request_tokens'][$key];


    $sess_id = $_COOKIE[ini_get('session.name')];


    return md5('RT' . $this->task . $this->config->get('des_key') . $sess_id);


  }






@@ -1124,7 +1120,8 @@


  public function check_request($mode = RCUBE_INPUT_POST)


  {


    $token = get_input_value('_token', $mode);


    return !empty($token) && $_SESSION['request_tokens'][$this->task] == $token;


    $sess_id = $_COOKIE[ini_get('session.name')];


    return !empty($sess_id) && $token == $this->get_request_token();


  }








 program/js/app.js


@@ -5431,7 +5431,7 @@




    if (this.env.keep_alive && !this.env.framed && this.task == 'mail' && this.gui_objects.mailboxlist)


      this._int = setInterval(function(){ ref.check_for_recent(false); }, this.env.keep_alive * 1000);


    else if (this.env.keep_alive && !this.env.framed && this.env.action != 'print')


    else if (this.env.keep_alive && !this.env.framed && this.task != 'login' && this.env.action != 'print')


      this._int = setInterval(function(){ ref.send_keep_alive(); }, this.env.keep_alive * 1000);


  };