spip / SPIP

ecrire/inc/headers.php

Indentation +136 added lines, -136 removed lines

@@ -17,7 +17,7 @@ 
  **/
 
 if (!defined('_ECRIRE_INC_VERSION')) {
-	return;
+    return;
 }
 
 
@@ -38,133 +38,133 @@ 
  * @param int $status Code de redirection (301 ou 302)
  **/
 function redirige_par_entete($url, $equiv = '', $status = 302) {
-	if (!in_array($status, [301, 302])) {
-		$status = 302;
-	}
-
-	$url = trim(strtr($url, "\n\r", '  '));
-	# si l'url de redirection est relative, on la passe en absolue
-	if (!preg_match(',^(\w+:)?//,', $url)) {
-		include_spip('inc/filtres_mini');
-		$url = url_absolue($url);
-	}
-
-	if (defined('_AJAX') and _AJAX) {
-		$url = parametre_url($url, 'var_ajax_redir', 1, '&');
-	}
-
-	// ne pas laisser passer n'importe quoi dans l'url
-	$url = str_replace(['<', '"'], ['&lt;', '&quot;'], $url);
-	$url = str_replace(["\r", "\n", ' '], ['%0D', '%0A', '%20'], $url);
-	while (strpos($url, '%0A') !== false) {
-		$url = str_replace('%0A', '', $url);
-	}
-	// interdire les url inline avec des pseudo-protocoles :
-	if (
-		(preg_match(',data:,i', $url) and preg_match('/base64\s*,/i', $url))
-		or preg_match(',(javascript|mailto):,i', $url)
-	) {
-		$url = './';
-	}
-
-	// Il n'y a que sous Apache que setcookie puis redirection fonctionne
-	include_spip('inc/cookie');
-	if (!defined('_SERVEUR_SOFTWARE_ACCEPTE_LOCATION_APRES_COOKIE')) {
-		define('_SERVEUR_SOFTWARE_ACCEPTE_LOCATION_APRES_COOKIE', '^(Apache|Cherokee|nginx)');
-	}
-	if (!defined('_SERVEUR_SIGNATURE_ACCEPTE_LOCATION_APRES_COOKIE')) {
-		define('_SERVEUR_SIGNATURE_ACCEPTE_LOCATION_APRES_COOKIE', 'Apache|Cherokee|nginx');
-	}
-	if (
-		(!$equiv and !spip_cookie_envoye()) or (
-			   (!empty($_SERVER['SERVER_SOFTWARE'])
-				   and _SERVEUR_SOFTWARE_ACCEPTE_LOCATION_APRES_COOKIE
-				   and preg_match('/' . _SERVEUR_SOFTWARE_ACCEPTE_LOCATION_APRES_COOKIE . '/i', $_SERVER['SERVER_SOFTWARE']))
-			or (!empty($_SERVER['SERVER_SIGNATURE'])
-				   and _SERVEUR_SIGNATURE_ACCEPTE_LOCATION_APRES_COOKIE
-				   and preg_match('/' . _SERVEUR_SIGNATURE_ACCEPTE_LOCATION_APRES_COOKIE . '/i', $_SERVER['SERVER_SIGNATURE']))
-			or function_exists('apache_getenv')
-			or defined('_SERVER_APACHE')
-		)
-	) {
-		@header('Location: ' . $url);
-		$equiv = '';
-	} else {
-		@header('Refresh: 0; url=' . $url);
-		if (isset($GLOBALS['meta']['charset'])) {
-			@header('Content-Type: text/html; charset=' . $GLOBALS['meta']['charset']);
-		}
-		$equiv = "<meta http-equiv='Refresh' content='0; url=$url'>";
-	}
-	include_spip('inc/lang');
-	if ($status != 302) {
-		http_response_code($status);
-	}
-	echo '<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">', "\n",
-	html_lang_attributes(), '
+    if (!in_array($status, [301, 302])) {
+        $status = 302;
+    }
+
+    $url = trim(strtr($url, "\n\r", '  '));
+    # si l'url de redirection est relative, on la passe en absolue
+    if (!preg_match(',^(\w+:)?//,', $url)) {
+        include_spip('inc/filtres_mini');
+        $url = url_absolue($url);
+    }
+
+    if (defined('_AJAX') and _AJAX) {
+        $url = parametre_url($url, 'var_ajax_redir', 1, '&');
+    }
+
+    // ne pas laisser passer n'importe quoi dans l'url
+    $url = str_replace(['<', '"'], ['&lt;', '&quot;'], $url);
+    $url = str_replace(["\r", "\n", ' '], ['%0D', '%0A', '%20'], $url);
+    while (strpos($url, '%0A') !== false) {
+        $url = str_replace('%0A', '', $url);
+    }
+    // interdire les url inline avec des pseudo-protocoles :
+    if (
+        (preg_match(',data:,i', $url) and preg_match('/base64\s*,/i', $url))
+        or preg_match(',(javascript|mailto):,i', $url)
+    ) {
+        $url = './';
+    }
+
+    // Il n'y a que sous Apache que setcookie puis redirection fonctionne
+    include_spip('inc/cookie');
+    if (!defined('_SERVEUR_SOFTWARE_ACCEPTE_LOCATION_APRES_COOKIE')) {
+        define('_SERVEUR_SOFTWARE_ACCEPTE_LOCATION_APRES_COOKIE', '^(Apache|Cherokee|nginx)');
+    }
+    if (!defined('_SERVEUR_SIGNATURE_ACCEPTE_LOCATION_APRES_COOKIE')) {
+        define('_SERVEUR_SIGNATURE_ACCEPTE_LOCATION_APRES_COOKIE', 'Apache|Cherokee|nginx');
+    }
+    if (
+        (!$equiv and !spip_cookie_envoye()) or (
+                (!empty($_SERVER['SERVER_SOFTWARE'])
+                   and _SERVEUR_SOFTWARE_ACCEPTE_LOCATION_APRES_COOKIE
+                   and preg_match('/' . _SERVEUR_SOFTWARE_ACCEPTE_LOCATION_APRES_COOKIE . '/i', $_SERVER['SERVER_SOFTWARE']))
+            or (!empty($_SERVER['SERVER_SIGNATURE'])
+                   and _SERVEUR_SIGNATURE_ACCEPTE_LOCATION_APRES_COOKIE
+                   and preg_match('/' . _SERVEUR_SIGNATURE_ACCEPTE_LOCATION_APRES_COOKIE . '/i', $_SERVER['SERVER_SIGNATURE']))
+            or function_exists('apache_getenv')
+            or defined('_SERVER_APACHE')
+        )
+    ) {
+        @header('Location: ' . $url);
+        $equiv = '';
+    } else {
+        @header('Refresh: 0; url=' . $url);
+        if (isset($GLOBALS['meta']['charset'])) {
+            @header('Content-Type: text/html; charset=' . $GLOBALS['meta']['charset']);
+        }
+        $equiv = "<meta http-equiv='Refresh' content='0; url=$url'>";
+    }
+    include_spip('inc/lang');
+    if ($status != 302) {
+        http_response_code($status);
+    }
+    echo '<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">', "\n",
+    html_lang_attributes(), '
 <head>',
-	$equiv, '
+    $equiv, '
 <title>HTTP ' . $status . '</title>
 ' . ((isset($GLOBALS['meta']['charset'])) ? '<meta http-equiv="Content-Type" content="text/html;charset=' . $GLOBALS['meta']['charset'] . '">' : '') . '
 </head>
 <body>
 <h1>HTTP ' . $status . '</h1>
 <a href="',
-	quote_amp($url),
-	'">',
-	_T('navigateur_pas_redirige'),
-	'</a></body></html>';
+    quote_amp($url),
+    '">',
+    _T('navigateur_pas_redirige'),
+    '</a></body></html>';
 
-	spip_log("redirige $status: $url");
+    spip_log("redirige $status: $url");
 
-	exit;
+    exit;
 }
 
 function redirige_formulaire($url, $equiv = '', $format = 'message') {
-	if (
-		!_AJAX
-		and !headers_sent()
-		and !_request('var_ajax')
-	) {
-		redirige_par_entete(str_replace('&amp;', '&', $url), $equiv);
-	} // si c'est une ancre, fixer simplement le window.location.hash
-	elseif ($format == 'ajaxform' and preg_match(',^#[0-9a-z\-_]+$,i', $url)) {
-		return [
-			// on renvoie un lien masque qui sera traite par ajaxCallback.js
-			"<a href='$url' name='ajax_ancre' style='display:none;'>anchor</a>",
-			// et rien dans le message ok
-			''
-		];
-	} else {
-		// ne pas laisser passer n'importe quoi dans l'url
-		$url = str_replace(['<', '"'], ['&lt;', '&quot;'], $url);
-
-		$url = strtr($url, "\n\r", '  ');
-		# en theorie on devrait faire ca tout le temps, mais quand la chaine
-		# commence par ? c'est imperatif, sinon l'url finale n'est pas la bonne
-		if ($url[0] == '?') {
-			$url = url_de_base() . $url;
-		}
-		$url = str_replace('&amp;', '&', $url);
-		spip_log("redirige formulaire ajax: $url");
-		include_spip('inc/filtres');
-		if ($format == 'ajaxform') {
-			return [
-				// on renvoie un lien masque qui sera traite par ajaxCallback.js
-				'<a href="' . quote_amp($url) . '" name="ajax_redirect"  style="display:none;">' . _T('navigateur_pas_redirige') . '</a>',
-				// et un message au cas ou
-				'<br /><a href="' . quote_amp($url) . '">' . _T('navigateur_pas_redirige') . '</a>'
-			];
-		} else // format message texte, tout en js inline
-		{
-			return
-				// ie poste les formulaires dans une iframe, il faut donc rediriger son parent
-				"<script type='text/javascript'>if (parent.window){parent.window.document.location.replace(\"$url\");} else {document.location.replace(\"$url\");}</script>"
-				. http_img_pack('loader.svg', '', " class='loader'")
-				. '<br />'
-				. '<a href="' . quote_amp($url) . '">' . _T('navigateur_pas_redirige') . '</a>';
-		}
-	}
+    if (
+        !_AJAX
+        and !headers_sent()
+        and !_request('var_ajax')
+    ) {
+        redirige_par_entete(str_replace('&amp;', '&', $url), $equiv);
+    } // si c'est une ancre, fixer simplement le window.location.hash
+    elseif ($format == 'ajaxform' and preg_match(',^#[0-9a-z\-_]+$,i', $url)) {
+        return [
+            // on renvoie un lien masque qui sera traite par ajaxCallback.js
+            "<a href='$url' name='ajax_ancre' style='display:none;'>anchor</a>",
+            // et rien dans le message ok
+            ''
+        ];
+    } else {
+        // ne pas laisser passer n'importe quoi dans l'url
+        $url = str_replace(['<', '"'], ['&lt;', '&quot;'], $url);
+
+        $url = strtr($url, "\n\r", '  ');
+        # en theorie on devrait faire ca tout le temps, mais quand la chaine
+        # commence par ? c'est imperatif, sinon l'url finale n'est pas la bonne
+        if ($url[0] == '?') {
+            $url = url_de_base() . $url;
+        }
+        $url = str_replace('&amp;', '&', $url);
+        spip_log("redirige formulaire ajax: $url");
+        include_spip('inc/filtres');
+        if ($format == 'ajaxform') {
+            return [
+                // on renvoie un lien masque qui sera traite par ajaxCallback.js
+                '<a href="' . quote_amp($url) . '" name="ajax_redirect"  style="display:none;">' . _T('navigateur_pas_redirige') . '</a>',
+                // et un message au cas ou
+                '<br /><a href="' . quote_amp($url) . '">' . _T('navigateur_pas_redirige') . '</a>'
+            ];
+        } else // format message texte, tout en js inline
+        {
+            return
+                // ie poste les formulaires dans une iframe, il faut donc rediriger son parent
+                "<script type='text/javascript'>if (parent.window){parent.window.document.location.replace(\"$url\");} else {document.location.replace(\"$url\");}</script>"
+                . http_img_pack('loader.svg', '', " class='loader'")
+                . '<br />'
+                . '<a href="' . quote_amp($url) . '">' . _T('navigateur_pas_redirige') . '</a>';
+        }
+    }
 }
 
 /**
@@ -185,7 +185,7 @@ 
  * @return void
  **/
 function redirige_url_ecrire($script = '', $args = '', $equiv = '') {
-	return redirige_par_entete(generer_url_ecrire($script, $args, true), $equiv);
+    return redirige_par_entete(generer_url_ecrire($script, $args, true), $equiv);
 }
 /**
  * Renvoie au client le header HTTP avec le message correspondant au code indiqué.
@@ -200,27 +200,27 @@ 
  *     Code d'erreur
  **/
 function http_status($status) {
-	http_response_code($status);
+    http_response_code($status);
 }
 
 // Retourne ce qui va bien pour que le navigateur ne mette pas la page en cache
 function http_no_cache() {
-	if (headers_sent()) {
-		spip_log('http_no_cache arrive trop tard');
-
-		return;
-	}
-	$charset = empty($GLOBALS['meta']['charset']) ? 'utf-8' : $GLOBALS['meta']['charset'];
-
-	// selon http://developer.apple.com/internet/safari/faq.html#anchor5
-	// il faudrait aussi pour Safari
-	// header("Cache-Control: post-check=0, pre-check=0", false)
-	// mais ca ne respecte pas
-	// http://www.w3.org/Protocols/rfc2616/rfc2616-sec14.html#sec14.9
-
-	header("Content-Type: text/html; charset=$charset");
-	header('Expires: 0');
-	header('Last-Modified: ' . gmdate('D, d M Y H:i:s') . ' GMT');
-	header('Cache-Control: no-cache, must-revalidate');
-	header('Pragma: no-cache');
+    if (headers_sent()) {
+        spip_log('http_no_cache arrive trop tard');
+
+        return;
+    }
+    $charset = empty($GLOBALS['meta']['charset']) ? 'utf-8' : $GLOBALS['meta']['charset'];
+
+    // selon http://developer.apple.com/internet/safari/faq.html#anchor5
+    // il faudrait aussi pour Safari
+    // header("Cache-Control: post-check=0, pre-check=0", false)
+    // mais ca ne respecte pas
+    // http://www.w3.org/Protocols/rfc2616/rfc2616-sec14.html#sec14.9
+
+    header("Content-Type: text/html; charset=$charset");
+    header('Expires: 0');
+    header('Last-Modified: ' . gmdate('D, d M Y H:i:s') . ' GMT');
+    header('Cache-Control: no-cache, must-revalidate');
+    header('Pragma: no-cache');
 }

ecrire/public/aiguiller.php

Indentation +289 added lines, -289 removed lines

@@ -11,7 +11,7 @@ 
 \***************************************************************************/
 
 if (!defined('_ECRIRE_INC_VERSION')) {
-	return;
+    return;
 }
 
 /**
@@ -19,158 +19,158 @@ 
  * @return string
  */
 function securiser_redirect_action($redirect) {
-	$redirect ??= '';
-	// cas d'un double urlencode : si un urldecode de l'url n'est pas secure, on retient ca comme redirect
-	if (strpos($redirect, '%') !== false) {
-		$r2 = urldecode($redirect);
-		if (($r3 = securiser_redirect_action($r2)) !== $r2) {
-			return $r3;
-		}
-	}
-	if (
-		(tester_url_absolue($redirect) or preg_match(',^\w+:,', trim($redirect)))
-		and !defined('_AUTORISER_ACTION_ABS_REDIRECT')
-	) {
-		// si l'url est une url du site, on la laisse passer sans rien faire
-		// c'est encore le plus simple
-		$base = $GLOBALS['meta']['adresse_site'] . '/';
-		if (strlen($base) and strncmp($redirect, $base, strlen($base)) == 0) {
-			return $redirect;
-		}
-		$base = url_de_base();
-		if (strlen($base) and strncmp($redirect, $base, strlen($base)) == 0) {
-			return $redirect;
-		}
+    $redirect ??= '';
+    // cas d'un double urlencode : si un urldecode de l'url n'est pas secure, on retient ca comme redirect
+    if (strpos($redirect, '%') !== false) {
+        $r2 = urldecode($redirect);
+        if (($r3 = securiser_redirect_action($r2)) !== $r2) {
+            return $r3;
+        }
+    }
+    if (
+        (tester_url_absolue($redirect) or preg_match(',^\w+:,', trim($redirect)))
+        and !defined('_AUTORISER_ACTION_ABS_REDIRECT')
+    ) {
+        // si l'url est une url du site, on la laisse passer sans rien faire
+        // c'est encore le plus simple
+        $base = $GLOBALS['meta']['adresse_site'] . '/';
+        if (strlen($base) and strncmp($redirect, $base, strlen($base)) == 0) {
+            return $redirect;
+        }
+        $base = url_de_base();
+        if (strlen($base) and strncmp($redirect, $base, strlen($base)) == 0) {
+            return $redirect;
+        }
 
-		return '';
-	}
+        return '';
+    }
 
-	return $redirect;
+    return $redirect;
 }
 
 function traiter_appels_actions() {
-	// cas de l'appel qui renvoie une redirection (302) ou rien (204)
-	if ($action = _request('action')) {
-		include_spip('base/abstract_sql'); // chargement systematique pour les actions
-		include_spip('inc/autoriser');
-		include_spip('inc/headers');
-		include_spip('inc/actions');
-		// des actions peuvent appeler _T
-		if (!isset($GLOBALS['spip_lang'])) {
-			include_spip('inc/lang');
-			utiliser_langue_visiteur();
-		}
-		// si l'action est provoque par un hit {ajax}
-		// il faut transmettre l'env ajax au redirect
-		// on le met avant dans la query string au cas ou l'action fait elle meme sa redirection
-		if (
-			($v = _request('var_ajax'))
-			and ($v !== 'form')
-			and ($args = _request('var_ajax_env'))
-			and ($url = _request('redirect'))
-		) {
-			$url = parametre_url($url, 'var_ajax', $v, '&');
-			$url = parametre_url($url, 'var_ajax_env', $args, '&');
-			set_request('redirect', $url);
-		} else {
-			if (_request('redirect')) {
-				set_request('redirect', securiser_redirect_action(_request('redirect')));
-			}
-		}
-		$var_f = charger_fonction($action, 'action');
-		$var_f();
-		if (!isset($GLOBALS['redirect'])) {
-			$GLOBALS['redirect'] = _request('redirect') ?? '';
-			if ($_SERVER['REQUEST_METHOD'] === 'POST') {
-				$GLOBALS['redirect'] = urldecode($GLOBALS['redirect']);
-			}
-			$GLOBALS['redirect'] = securiser_redirect_action($GLOBALS['redirect']);
-		}
-		if ($url = $GLOBALS['redirect']) {
-			// si l'action est provoque par un hit {ajax}
-			// il faut transmettre l'env ajax au redirect
-			// qui a pu etre defini par l'action
-			if (
-				($v = _request('var_ajax'))
-				and ($v !== 'form')
-				and ($args = _request('var_ajax_env'))
-			) {
-				$url = parametre_url($url, 'var_ajax', $v, '&');
-				$url = parametre_url($url, 'var_ajax_env', $args, '&');
-				// passer l'ancre en variable pour pouvoir la gerer cote serveur
-				$url = preg_replace(',#([^#&?]+)$,', "&var_ajax_ancre=\\1", $url);
-			}
-			$url = str_replace('&', '&', $url); // les redirections se font en &, pas en en &
-			redirige_par_entete($url);
-		}
+    // cas de l'appel qui renvoie une redirection (302) ou rien (204)
+    if ($action = _request('action')) {
+        include_spip('base/abstract_sql'); // chargement systematique pour les actions
+        include_spip('inc/autoriser');
+        include_spip('inc/headers');
+        include_spip('inc/actions');
+        // des actions peuvent appeler _T
+        if (!isset($GLOBALS['spip_lang'])) {
+            include_spip('inc/lang');
+            utiliser_langue_visiteur();
+        }
+        // si l'action est provoque par un hit {ajax}
+        // il faut transmettre l'env ajax au redirect
+        // on le met avant dans la query string au cas ou l'action fait elle meme sa redirection
+        if (
+            ($v = _request('var_ajax'))
+            and ($v !== 'form')
+            and ($args = _request('var_ajax_env'))
+            and ($url = _request('redirect'))
+        ) {
+            $url = parametre_url($url, 'var_ajax', $v, '&');
+            $url = parametre_url($url, 'var_ajax_env', $args, '&');
+            set_request('redirect', $url);
+        } else {
+            if (_request('redirect')) {
+                set_request('redirect', securiser_redirect_action(_request('redirect')));
+            }
+        }
+        $var_f = charger_fonction($action, 'action');
+        $var_f();
+        if (!isset($GLOBALS['redirect'])) {
+            $GLOBALS['redirect'] = _request('redirect') ?? '';
+            if ($_SERVER['REQUEST_METHOD'] === 'POST') {
+                $GLOBALS['redirect'] = urldecode($GLOBALS['redirect']);
+            }
+            $GLOBALS['redirect'] = securiser_redirect_action($GLOBALS['redirect']);
+        }
+        if ($url = $GLOBALS['redirect']) {
+            // si l'action est provoque par un hit {ajax}
+            // il faut transmettre l'env ajax au redirect
+            // qui a pu etre defini par l'action
+            if (
+                ($v = _request('var_ajax'))
+                and ($v !== 'form')
+                and ($args = _request('var_ajax_env'))
+            ) {
+                $url = parametre_url($url, 'var_ajax', $v, '&');
+                $url = parametre_url($url, 'var_ajax_env', $args, '&');
+                // passer l'ancre en variable pour pouvoir la gerer cote serveur
+                $url = preg_replace(',#([^#&?]+)$,', "&var_ajax_ancre=\\1", $url);
+            }
+            $url = str_replace('&', '&', $url); // les redirections se font en &, pas en en &
+            redirige_par_entete($url);
+        }
 
-		// attention : avec zlib.output_compression=1 on a vu des cas de ob_get_length() qui renvoi 0
-		// et du coup en renvoi un status 204 a tort (vu sur le menu rubriques notamment)
-		if (
-			!headers_sent()
-			and !ob_get_length()
-		) {
-			http_response_code(204);
-		} // No Content
-		return true;
-	}
+        // attention : avec zlib.output_compression=1 on a vu des cas de ob_get_length() qui renvoi 0
+        // et du coup en renvoi un status 204 a tort (vu sur le menu rubriques notamment)
+        if (
+            !headers_sent()
+            and !ob_get_length()
+        ) {
+            http_response_code(204);
+        } // No Content
+        return true;
+    }
 
-	return false;
+    return false;
 }
 
 
 function refuser_traiter_formulaire_ajax() {
-	if (
-		$v = _request('var_ajax')
-		and $v == 'form'
-		and $form = _request('formulaire_action')
-		and $args = _request('formulaire_action_args')
-		and decoder_contexte_ajax($args, $form) !== false
-	) {
-		// on est bien dans le contexte de traitement d'un formulaire en ajax
-		// mais traiter ne veut pas
-		// on le dit a la page qui va resumbit
-		// sans ajax
-		include_spip('inc/actions');
-		ajax_retour('noajax', false);
-		exit;
-	}
+    if (
+        $v = _request('var_ajax')
+        and $v == 'form'
+        and $form = _request('formulaire_action')
+        and $args = _request('formulaire_action_args')
+        and decoder_contexte_ajax($args, $form) !== false
+    ) {
+        // on est bien dans le contexte de traitement d'un formulaire en ajax
+        // mais traiter ne veut pas
+        // on le dit a la page qui va resumbit
+        // sans ajax
+        include_spip('inc/actions');
+        ajax_retour('noajax', false);
+        exit;
+    }
 }
 
 function traiter_appels_inclusions_ajax() {
-	// traiter les appels de bloc ajax (ex: pagination)
-	if (
-		$v = _request('var_ajax')
-		and $v !== 'form'
-		and $args = _request('var_ajax_env')
-	) {
-		include_spip('inc/filtres');
-		include_spip('inc/actions');
-		if (
-			$args = decoder_contexte_ajax($args)
-			and $fond = $args['fond']
-		) {
-			include_spip('public/assembler');
-			$contexte = calculer_contexte();
-			$contexte = array_merge($args, $contexte);
-			$page = recuperer_fond($fond, $contexte, ['trim' => false]);
-			$texte = $page;
-			if ($ancre = _request('var_ajax_ancre')) {
-				// pas n'importe quoi quand meme dans la variable !
-				$ancre = str_replace(['<', '"', "'"], ['&lt;', '&quot;', ''], $ancre);
-				$texte = "<a href='#$ancre' name='ajax_ancre' style='display:none;'>anchor</a>" . $texte;
-			}
-		} else {
-			include_spip('inc/headers');
-			http_response_code(400);
-			$texte = _L('signature ajax bloc incorrecte');
-		}
-		ajax_retour($texte, false);
+    // traiter les appels de bloc ajax (ex: pagination)
+    if (
+        $v = _request('var_ajax')
+        and $v !== 'form'
+        and $args = _request('var_ajax_env')
+    ) {
+        include_spip('inc/filtres');
+        include_spip('inc/actions');
+        if (
+            $args = decoder_contexte_ajax($args)
+            and $fond = $args['fond']
+        ) {
+            include_spip('public/assembler');
+            $contexte = calculer_contexte();
+            $contexte = array_merge($args, $contexte);
+            $page = recuperer_fond($fond, $contexte, ['trim' => false]);
+            $texte = $page;
+            if ($ancre = _request('var_ajax_ancre')) {
+                // pas n'importe quoi quand meme dans la variable !
+                $ancre = str_replace(['<', '"', "'"], ['&lt;', '&quot;', ''], $ancre);
+                $texte = "<a href='#$ancre' name='ajax_ancre' style='display:none;'>anchor</a>" . $texte;
+            }
+        } else {
+            include_spip('inc/headers');
+            http_response_code(400);
+            $texte = _L('signature ajax bloc incorrecte');
+        }
+        ajax_retour($texte, false);
 
-		return true; // on a fini le hit
-	}
+        return true; // on a fini le hit
+    }
 
-	return false;
+    return false;
 }
 
 // au 1er appel, traite les formulaires dynamiques charger/verifier/traiter
@@ -178,172 +178,172 @@ 
 // Le 1er renvoie True si il faut faire exit a la sortie
 
 function traiter_formulaires_dynamiques($get = false) {
-	static $post = [];
-	static $done = false;
+    static $post = [];
+    static $done = false;
 
-	if ($get) {
-		return $post;
-	}
-	if ($done) {
-		return false;
-	}
-	$done = true;
+    if ($get) {
+        return $post;
+    }
+    if ($done) {
+        return false;
+    }
+    $done = true;
 
-	if (
-		!($form = _request('formulaire_action')
-		and $args = _request('formulaire_action_args'))
-	) {
-		return false;
-	} // le hit peut continuer normalement
+    if (
+        !($form = _request('formulaire_action')
+        and $args = _request('formulaire_action_args'))
+    ) {
+        return false;
+    } // le hit peut continuer normalement
 
-	// verifier que le post est licite (du meme auteur ou d'une session anonyme)
-	$sign = _request('formulaire_action_sign');
-	if (!empty($GLOBALS['visiteur_session']['id_auteur'])) {
-		if (empty($sign)) {
-			spip_log("signature ajax form incorrecte : $form (formulaire non signe mais on a une session)", 'formulaires' . _LOG_ERREUR);
-			return false;
-		}
-		$securiser_action = charger_fonction('securiser_action', 'inc');
-		$secu = $securiser_action($form, $args, '', -1);
-		if ($sign !== $secu['hash']) {
-			spip_log("signature ajax form incorrecte : $form (formulaire signe mais ne correspond pas a la session)", 'formulaires' . _LOG_ERREUR);
-			return false;
-		}
-	}
-	else {
-		if (!empty($sign)) {
-			spip_log("signature ajax form incorrecte : $form (formulaire signe mais pas de session)", 'formulaires' . _LOG_ERREUR);
-			return false;
-		}
-	}
+    // verifier que le post est licite (du meme auteur ou d'une session anonyme)
+    $sign = _request('formulaire_action_sign');
+    if (!empty($GLOBALS['visiteur_session']['id_auteur'])) {
+        if (empty($sign)) {
+            spip_log("signature ajax form incorrecte : $form (formulaire non signe mais on a une session)", 'formulaires' . _LOG_ERREUR);
+            return false;
+        }
+        $securiser_action = charger_fonction('securiser_action', 'inc');
+        $secu = $securiser_action($form, $args, '', -1);
+        if ($sign !== $secu['hash']) {
+            spip_log("signature ajax form incorrecte : $form (formulaire signe mais ne correspond pas a la session)", 'formulaires' . _LOG_ERREUR);
+            return false;
+        }
+    }
+    else {
+        if (!empty($sign)) {
+            spip_log("signature ajax form incorrecte : $form (formulaire signe mais pas de session)", 'formulaires' . _LOG_ERREUR);
+            return false;
+        }
+    }
 
-	include_spip('inc/filtres');
-	if (($args = decoder_contexte_ajax($args, $form)) === false) {
-		spip_log("signature ajax form incorrecte : $form (encodage corrompu)", 'formulaires' . _LOG_ERREUR);
+    include_spip('inc/filtres');
+    if (($args = decoder_contexte_ajax($args, $form)) === false) {
+        spip_log("signature ajax form incorrecte : $form (encodage corrompu)", 'formulaires' . _LOG_ERREUR);
 
-		return false; // continuons le hit comme si de rien etait
-	} else {
-		include_spip('inc/lang');
-		// sauvegarder la lang en cours
-		$old_lang = $GLOBALS['spip_lang'];
-		// changer la langue avec celle qui a cours dans le formulaire
-		// on la depile de $args car c'est un argument implicite masque
-		changer_langue(array_shift($args));
+        return false; // continuons le hit comme si de rien etait
+    } else {
+        include_spip('inc/lang');
+        // sauvegarder la lang en cours
+        $old_lang = $GLOBALS['spip_lang'];
+        // changer la langue avec celle qui a cours dans le formulaire
+        // on la depile de $args car c'est un argument implicite masque
+        changer_langue(array_shift($args));
 
 
-		// inclure mes_fonctions et autres filtres avant verifier/traiter
-		include_fichiers_fonctions();
-		// ainsi que l'API SQL bien utile dans verifier/traiter
-		include_spip('base/abstract_sql');
+        // inclure mes_fonctions et autres filtres avant verifier/traiter
+        include_fichiers_fonctions();
+        // ainsi que l'API SQL bien utile dans verifier/traiter
+        include_spip('base/abstract_sql');
 
-		/**
-		 * Pipeline exécuté lors de la soumission d'un formulaire,
-		 * mais avant l'appel de la fonction de vérification.
-		 */
-		pipeline(
-			'formulaire_receptionner',
-			[
-				'args' => ['form' => $form, 'args' => $args],
-				'data' => null,
-			]
-		);
+        /**
+         * Pipeline exécuté lors de la soumission d'un formulaire,
+         * mais avant l'appel de la fonction de vérification.
+         */
+        pipeline(
+            'formulaire_receptionner',
+            [
+                'args' => ['form' => $form, 'args' => $args],
+                'data' => null,
+            ]
+        );
 
-		$verifier = charger_fonction('verifier', "formulaires/$form/", true);
-		$post["erreurs_$form"] = pipeline(
-			'formulaire_verifier',
-			[
-				'args' => ['form' => $form, 'args' => $args],
-				'data' => $verifier ? $verifier(...$args) : []
-			]
-		);
-		// prise en charge CVT multi etape si besoin
-		if (_request('cvtm_prev_post')) {
-			include_spip('inc/cvt_multietapes');
-			$post["erreurs_$form"] = cvtmulti_formulaire_verifier_etapes(
-				['form' => $form, 'args' => $args],
-				$post["erreurs_$form"]
-			);
-		}
+        $verifier = charger_fonction('verifier', "formulaires/$form/", true);
+        $post["erreurs_$form"] = pipeline(
+            'formulaire_verifier',
+            [
+                'args' => ['form' => $form, 'args' => $args],
+                'data' => $verifier ? $verifier(...$args) : []
+            ]
+        );
+        // prise en charge CVT multi etape si besoin
+        if (_request('cvtm_prev_post')) {
+            include_spip('inc/cvt_multietapes');
+            $post["erreurs_$form"] = cvtmulti_formulaire_verifier_etapes(
+                ['form' => $form, 'args' => $args],
+                $post["erreurs_$form"]
+            );
+        }
 
-		// accessibilite : si des erreurs mais pas de message general l'ajouter
-		if ((isset($post["erreurs_$form"]) and is_countable($post["erreurs_$form"]) ? count($post["erreurs_$form"]) : 0) and !isset($post["erreurs_$form"]['message_erreur'])) {
-			$post["erreurs_$form"]['message_erreur'] = singulier_ou_pluriel(
-				is_countable($post["erreurs_$form"]) ? count($post["erreurs_$form"]) : 0,
-				'avis_1_erreur_saisie',
-				'avis_nb_erreurs_saisie'
-			);
-		}
+        // accessibilite : si des erreurs mais pas de message general l'ajouter
+        if ((isset($post["erreurs_$form"]) and is_countable($post["erreurs_$form"]) ? count($post["erreurs_$form"]) : 0) and !isset($post["erreurs_$form"]['message_erreur'])) {
+            $post["erreurs_$form"]['message_erreur'] = singulier_ou_pluriel(
+                is_countable($post["erreurs_$form"]) ? count($post["erreurs_$form"]) : 0,
+                'avis_1_erreur_saisie',
+                'avis_nb_erreurs_saisie'
+            );
+        }
 
-		// si on ne demandait qu'une verif json
-		if (_request('formulaire_action_verifier_json')) {
-			include_spip('inc/json');
-			include_spip('inc/actions');
-			ajax_retour(json_encode($post["erreurs_$form"], JSON_THROW_ON_ERROR), 'text/plain');
+        // si on ne demandait qu'une verif json
+        if (_request('formulaire_action_verifier_json')) {
+            include_spip('inc/json');
+            include_spip('inc/actions');
+            ajax_retour(json_encode($post["erreurs_$form"], JSON_THROW_ON_ERROR), 'text/plain');
 
-			return true; // on a fini le hit
-		}
-		$retour = '';
-		if (isset($post["erreurs_$form"]) and ((is_countable($post["erreurs_$form"]) ? count($post["erreurs_$form"]) : 0) == 0)) {
-			$rev = '';
-			if ($traiter = charger_fonction('traiter', "formulaires/$form/", true)) {
-				$rev = $traiter(...$args);
-			}
+            return true; // on a fini le hit
+        }
+        $retour = '';
+        if (isset($post["erreurs_$form"]) and ((is_countable($post["erreurs_$form"]) ? count($post["erreurs_$form"]) : 0) == 0)) {
+            $rev = '';
+            if ($traiter = charger_fonction('traiter', "formulaires/$form/", true)) {
+                $rev = $traiter(...$args);
+            }
 
-			$rev = pipeline(
-				'formulaire_traiter',
-				[
-					'args' => ['form' => $form, 'args' => $args],
-					'data' => $rev
-				]
-			);
-			// le retour de traiter est
-			// un tableau explicite ('editable'=>$editable,'message_ok'=>$message,'redirect'=>$redirect,'id_xx'=>$id_xx)
-			// il permet le pipelinage, en particulier
-			// en y passant l'id de l'objet cree/modifie
-			// si message_erreur est present, on considere que le traitement a echoue
-			$post["message_ok_$form"] = '';
-			// on peut avoir message_ok et message_erreur
-			if (isset($rev['message_ok'])) {
-				$post["message_ok_$form"] = $rev['message_ok'];
-			}
+            $rev = pipeline(
+                'formulaire_traiter',
+                [
+                    'args' => ['form' => $form, 'args' => $args],
+                    'data' => $rev
+                ]
+            );
+            // le retour de traiter est
+            // un tableau explicite ('editable'=>$editable,'message_ok'=>$message,'redirect'=>$redirect,'id_xx'=>$id_xx)
+            // il permet le pipelinage, en particulier
+            // en y passant l'id de l'objet cree/modifie
+            // si message_erreur est present, on considere que le traitement a echoue
+            $post["message_ok_$form"] = '';
+            // on peut avoir message_ok et message_erreur
+            if (isset($rev['message_ok'])) {
+                $post["message_ok_$form"] = $rev['message_ok'];
+            }
 
-			// verifier si traiter n'a pas echoue avec une erreur :
-			if (isset($rev['message_erreur'])) {
-				$post["erreurs_$form"]['message_erreur'] = $rev['message_erreur'];
-				// si il y a une erreur on ne redirige pas
-			} else {
-				// sinon faire ce qu'il faut :
-				if (isset($rev['editable'])) {
-					$post["editable_$form"] = $rev['editable'];
-				}
-				// si une redirection est demandee, appeler redirigae_formulaire qui choisira
-				// le bon mode de redirection (302 et on ne revient pas ici, ou javascript et on continue)
-				if (isset($rev['redirect']) and $rev['redirect']) {
-					include_spip('inc/headers');
-					[$masque, $message] = redirige_formulaire($rev['redirect'], '', 'ajaxform');
-					$post["message_ok_$form"] .= $message;
-					$retour .= $masque;
-				}
-			}
-		}
-		// si le formulaire a ete soumis en ajax, on le renvoie direct !
-		if (_request('var_ajax')) {
-			if (find_in_path('formulaire_.php', 'balise/', true)) {
-				include_spip('inc/actions');
-				include_spip('public/assembler');
-				$retour .= inclure_balise_dynamique(balise_formulaire__dyn($form, ...$args), false);
-				// on ajoute un br en display none en tete du retour ajax pour regler un bug dans IE6/7
-				// sans cela le formulaire n'est pas actif apres le hit ajax
-				// la classe ajax-form-is-ok sert a s'assurer que le retour ajax s'est bien passe
-				$retour = "<br class='bugajaxie ajax-form-is-ok' style='display:none;'/>" . $retour;
-				ajax_retour($retour, false);
+            // verifier si traiter n'a pas echoue avec une erreur :
+            if (isset($rev['message_erreur'])) {
+                $post["erreurs_$form"]['message_erreur'] = $rev['message_erreur'];
+                // si il y a une erreur on ne redirige pas
+            } else {
+                // sinon faire ce qu'il faut :
+                if (isset($rev['editable'])) {
+                    $post["editable_$form"] = $rev['editable'];
+                }
+                // si une redirection est demandee, appeler redirigae_formulaire qui choisira
+                // le bon mode de redirection (302 et on ne revient pas ici, ou javascript et on continue)
+                if (isset($rev['redirect']) and $rev['redirect']) {
+                    include_spip('inc/headers');
+                    [$masque, $message] = redirige_formulaire($rev['redirect'], '', 'ajaxform');
+                    $post["message_ok_$form"] .= $message;
+                    $retour .= $masque;
+                }
+            }
+        }
+        // si le formulaire a ete soumis en ajax, on le renvoie direct !
+        if (_request('var_ajax')) {
+            if (find_in_path('formulaire_.php', 'balise/', true)) {
+                include_spip('inc/actions');
+                include_spip('public/assembler');
+                $retour .= inclure_balise_dynamique(balise_formulaire__dyn($form, ...$args), false);
+                // on ajoute un br en display none en tete du retour ajax pour regler un bug dans IE6/7
+                // sans cela le formulaire n'est pas actif apres le hit ajax
+                // la classe ajax-form-is-ok sert a s'assurer que le retour ajax s'est bien passe
+                $retour = "<br class='bugajaxie ajax-form-is-ok' style='display:none;'/>" . $retour;
+                ajax_retour($retour, false);
 
-				return true; // on a fini le hit
-			}
-		}
-		// restaurer la lang en cours
-		changer_langue($old_lang);
-	}
+                return true; // on a fini le hit
+            }
+        }
+        // restaurer la lang en cours
+        changer_langue($old_lang);
+    }
 
-	return false; // le hit peut continuer normalement
+    return false; // le hit peut continuer normalement
 }