Happy New Year

[squirrelmail.git] / functions / page_header.php
diff --git a/functions/page_header.php b/functions/page_header.php

index f6d1e80a30f16e9fc2bd9f85b660b0ae389bf4d8..add7eb85e58e0d1c59a1e065d02d1a0d2661cf34 100644 (file)
--- a/functions/page_header.php
+++ b/functions/page_header.php
@@ -5,7 +5,7 @@
   *
   * Prints the page header (duh)
   *
- * @copyright 1999-2010 The SquirrelMail Project Team
+ * @copyright 1999-2018 The SquirrelMail Project Team
   * @license http://opensource.org/licenses/gpl-license.php GNU Public License
   * @version $Id$
   * @package squirrelmail
@@ -56,11 +56,29 @@ function displayHtmlHeader( $title = 'SquirrelMail', $xtra = '', $do_hook = TRUE
      //$oTemplate->header('X-Powered-By: SquirrelMail/' . SM_VERSION, FALSE);
      $oTemplate->header('X-Powered-By: SquirrelMail', FALSE);
  
+    // prevent clickjack attempts
+// FIXME: should we use DENY instead?  We can also make this a configurable value, including giving the admin the option of removing this entirely in case they WANT to be framed by an external domain
+    $oTemplate->header('X-Frame-Options: SAMEORIGIN');
+
+    // prevent clickjack attempts using JavaScript for browsers that
+    // don't support the X-Frame-Options header...
+    // we check to see if we are *not* the top page, and if not, check
+    // whether or not the top page is in the same domain as we are...
+    // if not, log out immediately -- this is an attempt to do the same
+    // thing that the X-Frame-Options does using JavaScript (never a good
+    // idea to rely on JavaScript-based solutions, though)
+//FIXME: is it a problem that we still force the clickjack protection code whether or not JavaScript is supported or desired by the user?
+    $header_tags = '<script type="text/javascript" language="JavaScript">'
+       . "\n<!--\n"
+       . 'if (self != top) { try { if (document.domain != top.document.domain) {'
+       . ' throw "Clickjacking security violation! Please log out immediately!"; /* this code should never execute - exception should already have been thrown since it\'s a security violation in this case to even try to access top.document.domain (but it\'s left here just to be extra safe) */ } } catch (e) { self.location = "'
+       . sqm_baseuri() . 'src/signout.php"; top.location = "'
+       . sqm_baseuri() . 'src/signout.php" } }'
+       . "\n// -->\n</script>\n";
+
      $oTemplate->assign('frames', $frames);
      $oTemplate->assign('lang', $squirrelmail_language);
  
-    $header_tags = '';
-
      $header_tags .= "<meta name=\"robots\" content=\"noindex,nofollow\" />\n";
  
      $used_fontset = (!empty($chosen_fontset) ? $chosen_fontset : $default_fontset);
@@ -266,7 +284,7 @@ function displayPageHeader($color, $mailbox='', $sHeaderJs='', $sOnload = '') {
          * this explains the imap_mailbox.php dependency. We should instead store
          * the selected mailbox in the session and fallback to the session var.
          */
-        $shortBoxName = htmlspecialchars(imap_utf7_decode_local(
+        $shortBoxName = sm_encode_html_special_chars(imap_utf7_decode_local(
                      readShortMailboxName($mailbox, $delimiter)));
          if (getPref($data_dir, $username, 'translate_special_folders')) {
              global $sent_folder, $trash_folder, $draft_folder;