Roundcubemail devel
blame | history | patch | commit | commitdiff | ignore whitespace
Thomas Bruederli
2012-11-10 f6f1fd0251bd928c741938da8fce82c8ee05c18c 
 index.php


@@ -2,7 +2,7 @@


/*


 +-------------------------------------------------------------------------+


 | Roundcube Webmail IMAP Client                                           |


 | Version 0.8-rc                                                         |


 | Version 0.8.3                                                           |


 |                                                                         |


 | Copyright (C) 2005-2012, The Roundcube Dev Team                         |


 |                                                                         |


@@ -213,33 +213,35 @@


  if ($session_error || $_REQUEST['_err'] == 'session')


    $OUTPUT->show_message('sessionerror', 'error', null, true, -1);




  $RCMAIL->set_task('login');


  $OUTPUT->send('login');


  $plugin = $RCMAIL->plugins->exec_hook('unauthenticated', array('task' => 'login', 'error' => $session_error));




  $RCMAIL->set_task($plugin['task']);


  $OUTPUT->send($plugin['task']);


}


// CSRF prevention


else {


  // don't check for valid request tokens in these actions


  $request_check_whitelist = array('login'=>1, 'spell'=>1);


  $request_check_whitelist = array('login'=>1, 'spell'=>1, 'spell_html'=>1);




  // check client X-header to verify request origin


  if ($OUTPUT->ajax_call) {


    if (rc_request_header('X-Roundcube-Request') != $RCMAIL->get_request_token() && !$RCMAIL->config->get('devel_mode')) {


      header('HTTP/1.1 403 Forbidden');


      die("Invalid Request");


  if (!$request_check_whitelist[$RCMAIL->action]) {


    // check client X-header to verify request origin


    if ($OUTPUT->ajax_call) {


      if (rc_request_header('X-Roundcube-Request') != $RCMAIL->get_request_token()) {


        header('HTTP/1.1 403 Forbidden');


        die("Invalid Request");


      }


    }


  }


  // check request token in POST form submissions


  else if (!empty($_POST) && !$request_check_whitelist[$RCMAIL->action] && !$RCMAIL->check_request()) {


    $OUTPUT->show_message('invalidrequest', 'error');


    $OUTPUT->send($RCMAIL->task);


  }


    // check request token in POST form submissions


    else if (!empty($_POST) && !$RCMAIL->check_request()) {


      $OUTPUT->show_message('invalidrequest', 'error');


      $OUTPUT->send($RCMAIL->task);


    }




  // check referer if configured


  if (!$request_check_whitelist[$RCMAIL->action] && $RCMAIL->config->get('referer_check') && !rcube_check_referer()) {


    raise_error(array(


      'code' => 403,


      'type' => 'php',


      'message' => "Referer check failed"), true, true);


    // check referer if configured


    if ($RCMAIL->config->get('referer_check') && !rcube_check_referer()) {


      raise_error(array(


        'code' => 403, 'type' => 'php',


        'message' => "Referer check failed"), true, true);


    }


  }


}