Affichage erreur infondée si clic user connecté

CHANGES.md

@@ -10,6 +10,8 @@
     - VisualBlocks dans TinyMCE
 Mises à jour : 
     - TinyColoPicker
+    - contrôle CSRF de l'accès à l'utilisateur connecté
+
 
 ## Version 8.5.7
 * Correction : 

core/core.php

@@ -2224,7 +2224,7 @@ class layout extends common {
 				// }
 				// Mise à jour bloquée
 			}
-			$rightItems .= '<li><a href="' . helper::baseUrl() . 'user/edit/' . $this->getUser('id'). '//' . $_SESSION['csrf'] . '" title="Configurer mon compte">' . template::ico('user', 'right') . $this->getUser('firstname') . ' ' . $this->getUser('lastname') . '</a></li>';
+			$rightItems .= '<li><a href="' . helper::baseUrl() . 'user/edit/' . $this->getUser('id'). '/' . $_SESSION['csrf'] . '" title="Configurer mon compte">' . template::ico('user', 'right') . $this->getUser('firstname') . ' ' . $this->getUser('lastname') . '</a></li>';
 			$rightItems .= '<li><a id="barLogout" href="' . helper::baseUrl() . 'user/logout" title="Se déconnecter">' . template::ico('logout') . '</a></li>';
 			// Barre de membre
 			echo '<div id="bar"><div class="container"><ul id="barLeft">' . $leftItems . '</ul><ul id="barRight">' . $rightItems . '</ul></div></div>';

core/module/user/user.php

@@ -152,12 +152,14 @@ class user extends common {
 				'access' => false
 			]);
 		}
-		if ($this->getUrl(4) !== $_SESSION['csrf']) {
+		if ($this->getUrl(3) !== $_SESSION['csrf']) {
+			if ( $this->getUrl(4) !== $_SESSION['csrf']) {
 			// Valeurs en sortie
 			$this->addOutput([
 				'redirect' => helper::baseUrl() . 'user',
 				'notification' => 'Action  non autorisée'
 			]);
+			}
 		}		
 		// Accès autorisé
 		else {