fix : externaliser tous les scripts inline (CSP script-src 'self')

Tous les <script> inline et event handlers inline bloqués par la CSP sont déplacés vers des fichiers JS statiques servis par 'self' : - density-fouc.js : anti-FOUC densité (chargé en <head>) - density.js : widget L/M/S - trending-home.js : AJAX "Meilleures audiences" (RSS XML) - admin-stats.js : groupes AS + pages trending (RSS XML) - admin.js : bookAddArticle + bulk-delete (onclick/onchange → listeners) Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>
2026-05-15 21:00:26 +02:00
parent 58a110d5b9
commit 3e856dc476
9 changed files with 199 additions and 157 deletions
@@ -264,8 +264,8 @@ function adminStatusBadge(array $a, int $now): string
                <input class="form-check-input" type="checkbox" id="check-all">
                <label class="form-check-label small text-muted" for="check-all">Tout sélectionner</label>
            </div>
-            <button type="submit" class="btn btn-danger btn-sm"
-                    onclick="return document.querySelectorAll('.bulk-check:checked').length > 0 && confirm('Supprimer les articles sélectionnés ? Cette action est irréversible.')">
+            <button type="submit" id="bulk-delete-btn" class="btn btn-danger btn-sm"
+                    data-confirm-bulk="Supprimer les articles sélectionnés ? Cette action est irréversible.">
                Supprimer la sélection
            </button>
        </div>
@@ -1273,7 +1273,7 @@ foreach (COLOR_PALETTE_16 as $_i => $_rgb):
                    </div>
                    <div class="mb-3">
                        <label class="form-label small fw-medium">Ajouter une page existante</label>
-                        <select class="form-select" onchange="bookAddArticle(this)">
+                        <select class="form-select" id="book-article-select">
                            <option value="">— Choisir un article —</option>
                            <?php
                            $alreadyIn = $eb['articles'] ?? [];
@@ -1304,19 +1304,6 @@ foreach (COLOR_PALETTE_16 as $_i => $_rgb):
                    <button type="submit" class="btn btn-outline-danger btn-sm">🗑 Supprimer ce livre</button>
                </form>

-                <script>
-                function bookAddArticle(sel) {
-                    var slug = sel.value;
-                    if (!slug) return;
-                    var ta = document.getElementById('book-articles-ta');
-                    var lines = ta.value.split('\n').map(function(s) { return s.trim(); }).filter(Boolean);
-                    if (lines.indexOf(slug) === -1) {
-                        lines.push(slug);
-                        ta.value = lines.join('\n');
-                    }
-                    sel.value = '';
-                }
-                </script>

            <?php elseif (isset($_GET['new'])): ?>
                <h5>Nouveau livre</h5>