Merge branch 'settimeout-strings' into 'master'

Replace all setTimeout strings with functions

This fixes a cross-site scripting vulnerability.

See merge request !41

Replace all setTimeout strings with functions

This fixes a cross-site scripting vulnerability.

Signed-off-by: Anders Kaseorg <andersk@mit.edu>

Merge branch 'lib-upgrades' into 'master'

Third-party library upgrades

* lib: Upgrade php-gettext from 1.0.11 to 1.0.12
* lib: Upgrade accept-to-gettext.php from 2003-08-14 to 2007-04-01
* lib: Upgrade JShrink from 0.5.1 to 1.1.0
* lib: Upgrade mobile-detect from svn r44 (2012-05-03) to 2.8.24 (2016-11-11)
* lib: Upgrade php-publisher from ??? to a5d6a0e (2016-11-15)
* lib: Upgrade php-subscriber from ??? to 1213f89 (2016-11-15)
* lib: Upgrade script.aculo.us from 1.8.3 to 1.9.0
* lib: Upgrade timezones.txt from 2010k/l/m/n/2011a to 2016j

See merge request !40

Merge branch 'prototype-1.7.3' into 'master'

lib: Upgrade Prototype from 1.7 to 1.7.3

Are you sure you want these as separate merge requests?  The rest of the upgrades are much less invasive than Dojo, with essentially no changes outside of `lib`.  I would of course leave them as separate commits in any case, but I had assumed they would be more convenient to test in one batch.

See merge request !39

lib: Upgrade timezones.txt from 2010k/l/m/n/2011a to 2016j

https://www.iana.org/time-zones

The local change adding Automatic was preserved; the local change
removing Zulu was not.

Signed-off-by: Anders Kaseorg <andersk@mit.edu>

lib: Upgrade script.aculo.us from 1.8.3 to 1.9.0

https://script.aculo.us/

Signed-off-by: Anders Kaseorg <andersk@mit.edu>

lib: Upgrade php-subscriber from ??? to 1213f89 (2016-11-15)

https://github.com/pubsubhubbub/php-subscriber

Signed-off-by: Anders Kaseorg <andersk@mit.edu>

lib: Upgrade php-publisher from ??? to a5d6a0e (2016-11-15)

https://github.com/pubsubhubbub/php-publisher

Signed-off-by: Anders Kaseorg <andersk@mit.edu>

lib: Upgrade mobile-detect from svn r44 (2012-05-03) to 2.8.24 (2016-11-11)

https://github.com/serbanghita/Mobile-Detect

Signed-off-by: Anders Kaseorg <andersk@mit.edu>

lib: Upgrade JShrink from 0.5.1 to 1.1.0

https://github.com/tedivm/JShrink

Signed-off-by: Anders Kaseorg <andersk@mit.edu>

lib: Upgrade accept-to-gettext.php from 2003-08-14 to 2007-04-01

http://grep.be/data/accept-to-gettext.inc

Signed-off-by: Anders Kaseorg <andersk@mit.edu>

lib: Upgrade php-gettext from 1.0.11 to 1.0.12

https://launchpad.net/php-gettext

The local change to rename the gettext_reader function to
__construct (commit 00b6b66827c5ce0c103399f2742581fa90d50a97) has been
preserved.

Signed-off-by: Anders Kaseorg <andersk@mit.edu>

addendum to the previous

assorted CSS fixes related to Dojo upgrade

set .loadingExpando height to a correct value

lib: Upgrade Prototype from 1.7 to 1.7.3

http://prototypejs.org/

The local change from ‘on’ to ‘p_on’ for Dojo compatibility has been
preserved.

Signed-off-by: Anders Kaseorg <andersk@mit.edu>

prefs: auto expand feed tree

fix loading indicator position/size for tree leafs

force-enable persist for feedTree

Merge branch 'dojo-1.12.1'

Conflicts:
js/prefs.js

prefs: add updateSelectedPrompt shim called by toggleSelectedRow()

add dependency on dojo/_base/html

lib: Upgrade Dojo and Dijit from 1.8.3 to 1.12.1

The itemNode and expandoNode elements have changed from img to
span (https://bugs.dojotoolkit.org/ticket/16699), so we now put our
tree icons inside them rather than replacing them.

Signed-off-by: Anders Kaseorg <andersk@mit.edu>

Replace deprecated dojo.place with domConstruct.place

Signed-off-by: Anders Kaseorg <andersk@mit.edu>

dojo: Build dojo/dom-construct

Signed-off-by: Anders Kaseorg <andersk@mit.edu>

tweak the enclosure dropdown display a little bit for less-readable urls

update phpmailer

Merge branch 'subscribe-idn-feed' into 'master'

Subscribe to feed with Internationalized Domain Name

Currently you cannot subscribe to feeds on hosts with internationalized domain names (IDNA) within tt-rss. You need to manually convert them to punycode to subscribe to them.

This patch adds code to detect IDNA and convert them to punycode in fix_url() if possible on the system. This requires PHP IDN functions (e.g. on Debian Jessie this needs php5-intl to be installed), so a notice is added to the installer sanity check.

See merge request !37

headlines toolbar: move selection links into the dropdown

add toggle_sidebar plugin, remove obsolete toggle button
add PluginHost::HOOK_MAIN_TOOLBAR_BUTTON

hide selected_prompt on low width screens

deprecate encrypted feed passwords because mcrypt is getting removed from php 7.1

1. transparent decryption for existing installs stays for the time being
2. new passwords are not going to be encrypted even if FEED_CRYPT_KEY is defined
3. added update.php --decrypt-feeds to bulk decrypt existing encrypted passwords
4. updated install to not auto-generate crypt key
5. added warning to config.php-dist

Merge branch 'fclose-before-unlink-updater' into 'master'

If Windows, fclose() before unlink() in updater.php

Windows barks an error if you try to unlink() a file while the pointer is still open(); If running under Windows, fclose() the handle before the unlink();

See merge request !36

Make sure we are running on Windows before fclose() to avoid race condition possible in Nix.

Close lockfile handle before trying to unlink during update.

edit tags dialog: fix height

mail plugin: i guess rows= on dijit text areas doesn't work now

ttrssmailer: include phpmailer's smtp class

convert to punycode for feed on idn hostname

update phpmailer (again)

update phpmailer

edit tags dialog: enable overflow so that tag completion works properly

set_basic_feed_info: fix typo

rssfuncs: fix warning when trying to update nonexisting feed

maybe we shouldn't escape entry_author twice

category: swap context menu items

feedparser: fix syntax error

feed tree: add category context menu entry to un/collapse it

feedparser: fix normalize_encoding() not working properly for some encodings

fetch_file_contents: set timeout when not using CURL

get_article_filters: add unicode modifier to preg_match()

shared posts: remove link to feed in externally shared articles to prevent leaking potentially private feed urls

parser: only try to convert encoding if mbstring actually supports it

Merge branch 'add_feed_id_to_subscribeToFeed_response' into 'master'

Add feed id to subscribe to feed response

As described on the forum, this proposed change is to make the subscribeToFeed API response include the feed_id of the new or existing feed.

https://tt-rss.org/forum/viewtopic.php?f=8&t=3893

Thank you.

John

See merge request !35

Specify feed_id as an int rather than a string.

Add feed_id to subscribeToFeed response when the code is 1 or 0.
Set the API_LEVEL to 14.

better debugging for matched filter rules

Merge branch 'fix-night-theme-for-ios' into 'master'

Fix themes/night.css for iOS browsers

Somehow the image filters order matters for iOS browsers (Chrome, Safari), so
grayscale filter is not applied if -webkit-filter is not the last filter in
list.

See merge request !34

Fix themes/night.css for iOS browsers

Somehow the image filters order matters for iOS browsers (Chrome, Safari), so
grayscale filter is not applied if -webkit-filter is not the last filter in
list.

af_psql_trgm: do not try to render preference pane if enabled on mysql

remove support for legacy mysql driver

remove classes/db/api.php (shouldn't be there)

Merge branch 'german-translation' into 'master'

German translation

See merge request !33

Updated german translation

Merge branch 'master' into german-translation

rebase translations

import_export: better error message if upload failed

pre-users: disallow renaming admin user

update schema 128 to properly set ttrss_feeds.last_updated default value to NULL

perform housekeeping tasks for plugins loaded in user-context only

switch modules to new dojo definition format

catch plugin JS errors

plugins: use require() to hook into dojo

prefs: use dojo asynchronously

load dijit properly, duh

dojo: main UI: load stuff asynchronously

bump static version to 16.8

Merge branch 'more-info-article-filter' into 'master'

Pass the value of cache_images to plugins in HOOK_ARTICLE_FILTER.

Adds the `$cache_images` value to the `$article['feed']` array before calling HOOK_ARTICLE_FILTER. Allows plugins to know whether images will be cached in case they want to manage them in one way or another.

See merge request !32

Merge branch 'patch-strip-harmful-tags' into 'master'

Remove href attribute if it executes JavaScript.

Security update to prevent A tags with a `javascript:` href from actually executing the JavaScript.

See merge request !31

Pass the value of cache_images to plugins in HOOK_ARTICLE_FILTER.

Remove href attribute if it executes JavaScript.

tweet embed: force utf-8

af_redditimgur: rework gfycat pages

af_redditimgur: support .mp4 links

readability: increase maximum source document size, reorganize the reddit plugin code a bit

af_redditimgur: relax poster image url condition for imgur a bit

af_redditimgur: only check embed url variants unless match is found

basic tweet embedding using oembed

af_redditimgur: try to guess images to embed using content-type

Merge branch 'master' of git.tt-rss.org:fox/tt-rss

trgm plugin: increase check distance to 3 days

Merge branch 'mb4-string-only' into 'master'

Only strings need 4-byte filtering.

Things like booleans, integers, etc. can be excluded as only strings have 4-byte characters.

Keeps the data types consistent.

See merge request !30

af_redditimgur: support video elements in imgur albums

add hotkey for toggling VFEED_GROUP_BY_FEED preference

af_redditimgur: use browser UA for readability requests

Only strings need 4-byte filtering.

api: fix article guid not being passed to render article hook

api host: add session validation

api: load user plugins properly

test if mb_internal_encoding() is available in functions.php head