thumb: validate path before extracting missing parts

Silence PHP warning about undefined offset on invalid requests.

edit/page: ignore missing edit target

Silence javascript warning on uneditable pages.

edit/page: describe hotkey letter in save plugin

Minor code cleanup of a magic value.

edit/page: allow image uploads through easyimage

Fix local files shown as blobs in testing.

edit/page: disable pdf plugin for ckeditor

Imposed in Full release since version 4.15.1, causing license warning
despite being unused and unwanted.

edit/page: ckeditor image upload to user dir, returned as thumb

edit/page: disable image size attributes in editor

Disallow width and height, with Advanced Content Filtering enabled following
<https://ckeditor.com/docs/ckeditor4/latest/guide/dev_disallowed_content.html
#how-to-allow-everything-except>.

edit/page: fix ckeditor [json] upload response

One incompatibility in commit v4.4-28-gdd363674c2 (2020-12-05)
[update remote ckeditor to version 4.15.1] after all, according to
https://ckeditor.com/docs/ckeditor4/latest/guide/dev_file_browser_api.html:

> Since CKEditor 4.9 all file uploads, including those initiated by the File
> Browser plugin, expect a JSON response

edit/page: include admin stylesheet in editor ui

Fix dialog style separated in the previous commit.

edit/head: optional admin stylesheet for editor overrides

Fix logout hiding if logged out.

edit/head: ckeditor script url in data attribute

edit/head: check original file request for writability

page: rename page method to file

More descriptive of requested file name, avoiding duplicate $Page->page.

edit/page: add edit button in javascript

edit/head: move admin preparation to separate include

issue/report: activity widget to list latest messages

edit/page: enforce relative links to local domain

Replace <a href> and <img src> urls on save to fix common user mistake
breaking site deployment on a different [dev] domain.

edit/page: replace format selection by style options

Save one button (fitting in 2 rows on 420px width) by getting rid of the
arbitrary distinction between formatting and styles, the latter having
equally semantic elements and capable of toggling headers.

edit/page: rename and append editor style options

Support previously manual elements on Lijtweg: p.nav, s, span.right.
Prepare options to be displayed in 2 columns (frontend style).

page: retain conditional login elements in editor

Fix losing logout parts on save.

page: quote link name fallback

Match title from page html.

sitemap: nested index of handler subpages results

page: search results as article objects

Wanted to determine page link, but also afterwards in sitemap
and likely most other uses.

page: index method to call metadata handler

Clean up duplicate code on login and sitemap.

nieuws: article index on sitemap request

Restore subpages ignored since previous commit.

page: skip directory handlers in search

Code can alter file behaviour, so should be omitted from sitemap results
(to be replaced by custom index in following commit).

Removes wanted nieuws articles, but also random foto descriptions and
some accidental html files.

page: retain thumb subhandlers over invalid resize

Ignore non-static files such as /thumb/qr on Lijtweg.

sitemap: apply link metadata from handler call

Execute generic index code introduced in commit v4.5-23-gb9757db578
(2020-12-19) [login: userless handler call to obtain metadata].

mail: support invalid and repeated requests

Fix random sitemap pages.

login: userless handler call to obtain metadata

Generic solution (previously hardcoded to only /melding) to run code of any
forwarding request, returning at least custom title, teaser, and image,
without having to construct full html.

nieuws: fix relative image paths in toc

Current path does not apply with trailing /.

widget: unnamed options as placeholders instead of path

mail: navigation links to earlier files

login/commits: nav widget for common pagination links

mail: lay out sender and date as subheader

Similar to the GMail interface.

mail: imap function to parse sender addresses

Require built-in imap module instead of the mailparse extension.
Either can be installed on Debian (or enabled on Vimexx servers)
so prefer the more complete solution.

mail: ignore unreadable files

Incorrect installation should be obvious without fatal errors.

page: showsize() to format file sizes

Copied from Lijtweg [doclist precursor] introduced in commit
v2.0-12-g040c5406df (2017-09-18) [com/bewoners: group file types by date];
unaltered since but no longer used.  Could prove useful later, so move here
to merge identically named files and share with other projects.

page: move showdate() into formatting include

Do not enforce presentation style in articles.  Separate from class,
allowing site override if wanted.

page: delay loading user code until after page

Improved presentation on failure.

page: move custom error handling to include

login: preview teaser metadata of goto target

Assume the introduction paragraph does not contain restricted contents
(also included in public sitemap) and wanted as contents for social media
links instead of unrelated login description.

edit/page: common retrieval of contents element

edit/page: copy static contents before dynamic alterations

Revert javascript alterations before starting edits, preventing them being
saved on lijtweg.nl/doc/splitsing and various Excelsior pages.

head: load edit script before body

Introduce $Page->head for html head output.

Allows editor setup before running other javascript.

page: prepend 404 contents to admin template

Preview actual output on edit.

page: ignore output buffer in article render

Operate on object property [raw] only.

Stops preliminary output (such as in nieuws code) being injected inside the
html body, probably something to restore later for improved behaviour of
errors and broken code.

widget/page: apply nested placeholders

Similar to article rendering added in commit v3.5-16-g9e9882d6f2
(2018-08-07) [nieuws: replace placeholders in article contents].

page: store placeholder values in $Page object

page: move getoutput() to render method

page: move placeholder_include() to widget method

page: replace global variables by $Page object

Former $Article is sufficient to provide all derived values:

$Page       = $Page->handler
$Args       = $Page->path
$PageAccess = $Page->restricted
$Article    = $Page

Swap with more appropriate (and short) $Page name and replace any usage.
Major incompatible cleanup before other upcoming behavioural changes.

foto: fix colon separator after empty root title

foto: replace deprecated <strike> element by <s>

Identical results conforming to the HTML5 standard.

Obsolete HTML 3 spelling is not recognised by ckeditor
so cannot be used in static html.

edit/page: update remote ckeditor to version 4.15.1

Over 3 years since original implementation.
No notable config incompatibilities.

mail: primitive maildir message reader

Minimal admin interface to access site emails;
formatted similarly to issue page.

edit/page: empty target argument for index

Fix saving of /index broken by parameter fix in commit v4.0-30-ga66a71bc45
(2019-11-09) [keep page named after existing directory].

Dropping argument requirement fail-safe seems only a slight regression
in case of future bugs.

nieuws/feed: prefer article dates from metadata

Frequently available since the previous commit.

page: record creation time in template meta tag

Another https://ogp.me/#no_vertical object for availability start.
May be distinct from chosen (eg historic) dates shown for news articles.

Values may be reconstructed for existing files from Git history:

perl -i -pE '
close ARGV if eof;  # reset line number
$. == 1 or next;  # ignore consecutive lines
my $first = qx{git log --follow --pretty=%ai -- "$ARGV" | tail -n1}
or next;  # find earliest commit time
chomp $first;
print qq{<meta property="article:published_time" content="$first" />};
say "" unless /^<meta/;
' **/*.html

page: record author metadata on creation

Alter initial template html to include a link to the current admin,
retained by ckeditor and available in meta for optional crediting of
different sources.

Named according to https://ogp.me/#no_vertical specification, except target
does not contain the required Open Graph profile tags yet.

page: extract metadata after reading template

Retain headers in edit if any; prepare for common modification.

page: editable meta tags without xml closure

Match ckeditor output, just in case save doesn't reformat.

edit/page: load ckeditor dependency from script include

Adapted from poslawsky.nl change, but retaining variable source.

edit/page: input replacement of breaking space after abbreviations

Clean up rule to prevent line breaks after common name titles.

edit/page: clean up trailing whitespace after save

Strip invisible trash commonly left by less precise users.
First implemented on and copied from poslawsky.nl/bio/.

foto: lock characters from icon font

Match style override to page icons introduced in the previous commit.

head: icons to abbreviate user and edit

Elect literal representation instead of CSS hacks to replace texts,
with Unicode emoji characters BUST IN SILHOUETTE and WRITING HAND
hopefully good enough for screen readers.

Assume preferred site style is obtained by an installed font.

page: ignore asides in article body (cq title, teaser)

Prepare significant page contents in body attribute, regardless of raw.
Assume it will be used for summary text, without stripped parts in preface.

Fixes preceding aside becoming page metadata on lijtweg.nl/doc/regels.

head: title as og:name property, clean up description

Satisfy automated SEO warnings about missing title (wanting an explicit tag)
and recommended summary length (fitting some long paragraphs by omitting
inconsequential spaces).

nieuws: fix block replacement of variable contents

Restored as empty [[]] placeholders since previous commit.

edit/page: indicate edit replacements in data-dyn attributes

Clean up hack of html comments by a proper dom integration.
Does require placeholders to be wrapped in a single outer element.

thumb: apply exif orientation

Match expected results (and modern browser rendering of originals)
for common rotation on phone submissions.

May not match photoswipe rendering, which depends on browser support.
Best to apply rotation without tags for now (exifautotran).

sitemap: strip images from teaser

Fix duplicate display of early images.

sitemap: fix html syntax of list items

Restore closing tag accidentally removed in commit v4.0-7-g5e246b86aa
(2019-10-17) [linkref part to format a single page].

contact: silence warning checking missing client headers

Same behaviour but avoiding definedness error in logs.

login: status 403 for initial unauthorised redirects

Appropriate error code for original requests.

page: ignore failed user setup during errors

Report auth.inc.php exceptions without breaking on attempted usage of
$User->login in output, or missing ArchiveArticle class.

auth: create user object regardless of login

Simplify code not having to check for object existence.

nieuws/feed: optional site icon

Used by some readers in feed overviews.

issue/feed: include reply count as thread metadata

Possibly useful values for derived layouts.
Might be shown in overviews of some RSS readers.

foto: fix admin indication of unrestricted access

Misdetected since variable is defined false since commit v4.3-3-ged38c6a767
(2020-02-04) [page: article method to find handler code].

nieuws/feed: header to allow js access from any domain

Data is meant to be readable.

nieuws: navigation links in common aside container

issue: metadata list in aside container

Better semantics, benefits from common aside styling.

article: ignore placeholders before teaser paragraph

article: find teaser paragraph from variable offset

Simplify matching by starting at optional first </h2>.
No longer ignores (short) preceding titles such as on Lijtweg home;
more reliable otherwise.

page: restrict security policy of base-src

head: indicate explicit og:type of website

Include just to allow page overrides, such as "article" for nieuws pages
(might affect Facebook, but seems a minor and mostly useless distinction).
At least silences Dareboost warnings about required Open Graph properties.

head: include canonical location in og:url

Does not (yet) account for all aliases, but at least provides a good
reference to the requested page.

page: extend teaser range of fallback paragraph

Arbitrarily increase allowed separation to 512 bytes, as Lijtweg index page
introduction recently moved beyond 256 because of longer image paths.

page: declare minimal security policy header

Define current data usage to provide some protection from XSS attacks.
Allow for remaining scripts and images (editor script, gallery, some onclick
actions in user forms, inline svg) to be improved at a later time.

page: disallow frame ancestors to prevent clickjacking

Security policy recommended by Dareboost, to stop potential malicious page
embedding.  Support should be decent (enough), so do not bother with an
equivalent X-Frame-Options directive for compatibility.

thumb: strip metadata and chroma

Decreased colour quality recommended by Google PageSpeed:
<https://developers.google.com/speed/docs/insights/OptimizeImages>

thumb: decrease preferred quality to 85%

Better trade-off, also recommended by PageSpeed.

thumb: prefer progressive jpeg encoding

Intermediate rendering for faster results, and overall smaller file sizes
similar (if not identical) to jpegtran -optimize or PageSpeed.

page: reenclose template contents in static container

Fix editing of new pages since v4.2-24-ged38c6a767 (2020-02-04)
[page: article method to find handler code].

issue: match image replies for metadata

Database paragraphs not cleaned by editor lack preceding newline.

login: target page in description and image metadata

login: run handler of pending melding page

Run script to get dynamic page metadata.  Most wanted for issues (otherwise
inaccessible since move to database), considered mostly safe to execute.
Not a generic solution for other code which could exit.

login: redirection message if pending page

Assume ?goto page required authorisation.