]> git.openstreetmap.org Git - rails.git/blob - app/controllers/site_controller.rb
Add blob to frame-src in CSP for iD
[rails.git] / app / controllers / site_controller.rb
1 class SiteController < ApplicationController
2   layout "site"
3   layout :map_layout, :only => [:index, :export]
4
5   before_action :authorize_web
6   before_action :set_locale
7   before_action :redirect_browse_params, :only => :index
8   before_action :redirect_map_params, :only => [:index, :edit, :export]
9   before_action :require_oauth, :only => [:index]
10   before_action :update_totp, :only => [:index]
11
12   authorize_resource :class => false
13
14   def index
15     session[:location] ||= OSM.ip_location(request.env["REMOTE_ADDR"]) unless Settings.status == "database_readonly" || Settings.status == "database_offline"
16   end
17
18   def permalink
19     lon, lat, zoom = ShortLink.decode(params[:code])
20     new_params = params.except(:code, :lon, :lat, :zoom, :layers, :node, :way, :relation, :changeset)
21
22     if new_params.key? :m
23       new_params.delete :m
24       new_params[:mlat] = lat
25       new_params[:mlon] = lon
26     end
27
28     if params.key? :node
29       new_params[:controller] = "browse"
30       new_params[:action] = "node"
31       new_params[:id] = params[:node]
32     elsif params.key? :way
33       new_params[:controller] = "browse"
34       new_params[:action] = "way"
35       new_params[:id] = params[:way]
36     elsif params.key? :relation
37       new_params[:controller] = "browse"
38       new_params[:action] = "relation"
39       new_params[:id] = params[:relation]
40     elsif params.key? :changeset
41       new_params[:controller] = "browse"
42       new_params[:action] = "changeset"
43       new_params[:id] = params[:changeset]
44     else
45       new_params[:controller] = "site"
46       new_params[:action] = "index"
47     end
48
49     new_params[:anchor] = "map=#{zoom}/#{lat}/#{lon}"
50     new_params[:anchor] += "&layers=#{params[:layers]}" if params.key? :layers
51
52     redirect_to new_params.to_unsafe_h
53   end
54
55   def key
56     expires_in 7.days, :public => true
57     render :layout => false
58   end
59
60   def edit
61     editor = preferred_editor
62
63     if editor == "remote"
64       require_oauth
65       render :action => :index, :layout => map_layout
66       return
67     else
68       require_user
69     end
70
71     if %w[potlatch potlatch2].include?(editor)
72       append_content_security_policy_directives(
73         :connect_src => %w[*],
74         :object_src => %w[*],
75         :plugin_types => %w[application/x-shockwave-flash],
76         :script_src => %w['unsafe-inline']
77       )
78     elsif %w[id].include?(editor)
79       append_content_security_policy_directives(
80         :frame_src => %w[blob:]
81       )
82     end
83
84     begin
85       if params[:node]
86         bbox = Node.visible.find(params[:node]).bbox.to_unscaled
87         @lat = bbox.centre_lat
88         @lon = bbox.centre_lon
89         @zoom = 18
90       elsif params[:way]
91         bbox = Way.visible.find(params[:way]).bbox.to_unscaled
92         @lat = bbox.centre_lat
93         @lon = bbox.centre_lon
94         @zoom = 17
95       elsif params[:note]
96         note = Note.visible.find(params[:note])
97         @lat = note.lat
98         @lon = note.lon
99         @zoom = 17
100       elsif params[:gpx] && current_user
101         trace = Trace.visible_to(current_user).find(params[:gpx])
102         @lat = trace.latitude
103         @lon = trace.longitude
104         @zoom = 16
105       end
106     rescue ActiveRecord::RecordNotFound
107       # don't try and derive a location from a missing/deleted object
108     end
109   end
110
111   def copyright
112     @locale = params[:copyright_locale] || I18n.locale
113   end
114
115   def welcome; end
116
117   def help; end
118
119   def about
120     @locale = params[:about_locale] || I18n.locale
121   end
122
123   def export; end
124
125   def offline; end
126
127   def preview
128     render :html => RichText.new(params[:type], params[:text]).to_html
129   end
130
131   def id
132     append_content_security_policy_directives(
133       :connect_src => %w[*],
134       :img_src => %w[* blob:],
135       :script_src => %w[dev.virtualearth.net 'unsafe-eval'],
136       :style_src => %w['unsafe-inline']
137     )
138
139     render :layout => false
140   end
141
142   private
143
144   def redirect_browse_params
145     if params[:node]
146       redirect_to node_path(params[:node])
147     elsif params[:way]
148       redirect_to way_path(params[:way])
149     elsif params[:relation]
150       redirect_to relation_path(params[:relation])
151     elsif params[:note]
152       redirect_to browse_note_path(params[:note])
153     elsif params[:query]
154       redirect_to search_path(:query => params[:query])
155     end
156   end
157
158   def redirect_map_params
159     anchor = []
160
161     anchor << "map=#{params.delete(:zoom) || 5}/#{params.delete(:lat)}/#{params.delete(:lon)}" if params[:lat] && params[:lon]
162
163     if params[:layers]
164       anchor << "layers=#{params.delete(:layers)}"
165     elsif params.delete(:notes) == "yes"
166       anchor << "layers=N"
167     end
168
169     redirect_to params.to_unsafe_h.merge(:anchor => anchor.join("&")) if anchor.present?
170   end
171 end