CSRF-Token nur in Formulare außerhalb des TinyMCE-Editors integrieren

Fix: Bisher wurde das CSRF-Token z. B. beim Bearbeiten eines Artikels an enthaltene
     Formulare angehängt. Je Speichervorgang kam dabei immer ein weiteres Feld dazu.

Author: cz-papoo

interna/all_inc.php

@@ -347,6 +347,6 @@
 }
 $pluginintegrator->output_filter_admin();
 
-$output = str_ireplace('</form>','<input type="hidden" name="csrf_token" value="'.$_SESSION['csrf_token'].'"/> </form>',$output);
+$output = $diverse->injectCsrfTokenIntoForms((string)$output);
 
 print $output;

lib/classes/diverse_class.php

@@ -1601,6 +1601,38 @@ public function validateVatId(string $vatId): bool
 
 		return (bool)preg_match($pattern, $subject);
 	}
+
+	/**
+	 * @param string $html
+	 * @return string
+	 */
+	public function injectCsrfTokenIntoForms(string $html): string
+	{
+		// Textareas vorübergehend verschleiern, damit das CSRF-Token nicht in TinyMCE-Instanzen inkludiert wird
+		$textareas = [];
+		$html = preg_replace_callback(
+			'~<(?<tag>(?(R)[^\s/>]+|textarea(?=[\s/>])))(?>[^>]*)(?<sc>(?<=/))?>(?<fot>(?>[^<]*)(?(?=<!--)(?>.+?-->)(?>(?&fot)*)))(?(sc)|(?R)*</\g{tag}>(?(R)(?>(?&fot)*)|))~i',
+			function ($match) use (&$textareas) {
+				$id = uniqid('textarea__');
+				$textareas[] = [
+					'id' => $id,
+					'html' => $match[0],
+				];
+				return $id;
+			},
+			$html
+		) ?? $html;
+
+		// CSRF-Token integrieren
+		$html = str_ireplace('</form>', '<input type="hidden" name="csrf_token" value="'.$_SESSION['csrf_token'].'"/></form>', $html);
+
+		// Textareas wiederherstellen
+		$html = array_reduce($textareas, function ($html, $textarea) {
+			return str_replace($textarea['id'], $textarea['html'], $html);
+		}, $html);
+
+		return $html;
+	}
 }
 
 $diverse = new diverse_class();

lib/classes/variables_class.php

@@ -88,6 +88,9 @@ function __construct()
 			}
 		}
 
+		if (is_array($_POST)) {
+			self::removeCsrfTokenFromUserInput($_POST);
+		}
 
 		/*
 		 * Alle $_POST durchloopen die reinkommen
@@ -130,6 +133,26 @@ function __construct()
 		$this->do_check();
 	}
 
+	/**
+	 * Diese Methode entfernt input[type="hidden"][name="csrf_token"]-Felder, die Formularen
+	 * innerhalb einer TinyMCE-Instanz hinzugefügt wurden.
+	 * @param mixed|array|string $data Call by reference
+	 *
+	 * @deprecated Soll nur noch bereits betroffene Artikel automatisch säubern.
+	 * @see diverse_class::injectCsrfTokenIntoForms()
+	 */
+	private static function removeCsrfTokenFromUserInput(&$data): void
+	{
+		if (is_string($data)) {
+			$data = preg_replace('~<input type="hidden" name="csrf_token"[^>]+>~', '', $data);
+		}
+		elseif (is_array($data)) {
+			foreach ($data as &$value) {
+				self::removeCsrfTokenFromUserInput($value);
+			}
+		}
+	}
+
 	/**
 	 * Zwingende Überprüfungen auf int
 	 */

lib/settings/output_pars.php

@@ -28,7 +28,8 @@
 	$output = preg_replace($find, $replace, $output);
 } while($len < strlen($output));
 $output = str_replace("&amp;amp;", "&amp;", $output);
-$output = str_ireplace('</form>','<input type="hidden" name="csrf_token" value="'.$_SESSION['csrf_token'].'"/> </form>',$output);
+
+$output = $diverse->injectCsrfTokenIntoForms((string)$output);
 
 // pkalender-Einbindung Cache-Klasse
 $cache->cache_speichern();