From fabe5a9f5309cad23bc9e72fc9d55e205c782017 Mon Sep 17 00:00:00 2001
From: =?UTF-8?q?C=C3=A9drix?= <cedric@abonnel.fr>
Date: Sat, 16 May 2026 11:30:12 +0200
Subject: [PATCH] =?UTF-8?q?fix=20:=20formulaires=20imbriqu=C3=A9s=20dans?=
 =?UTF-8?q?=20bulk-form=20(toggle=20=C3=A0=20la=20une=20+=20dupliquer)?=
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit

Les <form> admin_toggle_featured et duplicate étaient imbriqués dans
#bulk-form — HTML invalide, le navigateur soumettait le form parent
(suppression) au lieu du bon. Fix : attribut form="id" HTML5 + forms
cachés placés après le bulk-form. Ajoute note CSP + nested forms dans
consignes.md.

Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>
---
 consignes.md        |  1 +
 templates/admin.php | 41 ++++++++++++++++++++++++++++-------------
 2 files changed, 29 insertions(+), 13 deletions(-)

diff --git a/consignes.md b/consignes.md
index 98b10a3..16913c8 100644
--- a/consignes.md
+++ b/consignes.md
@@ -130,3 +130,4 @@ sudo git config --system --add safe.directory /var/www/lan.acegrp.abonnel-www
 - Ne **jamais** versionner `data/`, `.env`, ou `vendor/` dans le dépôt folio.
 - Toujours bumper la version **et** mettre à jour le changelog dans le même commit que la PR.
 - Dans les pools PHP-FPM, toujours utiliser `user = www-data` / `group = www-data`. `cedrix` est un admin ordinaire, pas un compte de service.
+- **CSP** : le header `Content-Security-Policy` est défini dans la config Apache (`varlog/server/apache/lan.acegrp.varlog.conf`), pas dans PHP. La directive `script-src 'self'` interdit les scripts inline — ne jamais écrire de `<script>` inline dans les templates ; toujours utiliser des fichiers `.js` externes dans `public/assets/js/`. Les erreurs CSP mentionnant `content.js` viennent d'extensions navigateur bloquées par le CSP (comportement normal, pas un bug Folio). Concernant les formulaires HTML : les `<form>` imbriqués sont invalides — un bouton submit dans un form imbriqué soumet le form parent. Utiliser l'attribut HTML5 `form="id-du-form"` pour associer un bouton à un form situé hors du form englobant.
diff --git a/templates/admin.php b/templates/admin.php
index 4cde464..3616aed 100644
--- a/templates/admin.php
+++ b/templates/admin.php
@@ -350,15 +350,11 @@ function adminStatusBadge(array $a, int $now): string
                         <td class="text-center">
                             <?php if (isAdmin()): ?>
                             <?php $_isFeatured = !empty($a['featured']); ?>
-                            <?php $_backUrl = '/admin/articles?' . http_build_query(array_filter(['filter_author' => $adminData['filter_author'] ?? '', 'filter_category' => $adminData['filter_category'] ?? '', 'filter_status' => $adminData['filter_status'] ?? '', 'filter_search' => $adminData['filter_search'] ?? '', 'filter_featured' => $adminData['filter_featured'] ?? '', 'sort' => $_sortBy, 'dir' => $_sortDir], fn ($v) => $v !== '')); ?>
-                            <form method="post" action="/?action=admin_toggle_featured" class="d-inline m-0">
-                                <input type="hidden" name="uuid" value="<?= htmlspecialchars($a['uuid']) ?>">
-                                <input type="hidden" name="_back" value="<?= htmlspecialchars($_backUrl) ?>">
-                                <button type="submit" class="btn btn-link p-0 border-0 lh-1 fs-6"
-                                        title="<?= $_isFeatured ? 'Retirer de la une' : 'Mettre à la une' ?>">
-                                    <?= $_isFeatured ? '★' : '<span class="text-muted">☆</span>' ?>
-                                </button>
-                            </form>
+                            <button type="submit" form="toggle-featured-<?= htmlspecialchars($a['uuid']) ?>"
+                                    class="btn btn-link p-0 border-0 lh-1 fs-6"
+                                    title="<?= $_isFeatured ? 'Retirer de la une' : 'Mettre à la une' ?>">
+                                <?= $_isFeatured ? '★' : '<span class="text-muted">☆</span>' ?>
+                            </button>
                             <?php else: ?>
                             <?= !empty($a['featured']) ? '★' : '' ?>
                             <?php endif; ?>
@@ -369,16 +365,35 @@ function adminStatusBadge(array $a, int $now): string
                         <td class="text-end text-nowrap">
                             <a href="/edit/<?= htmlspecialchars($a['uuid']) ?>"
                                class="btn btn-outline-secondary btn-sm">Modifier</a>
-                            <form method="post" action="/duplicate/<?= htmlspecialchars($a['uuid']) ?>" class="d-inline ms-1">
-                                <button type="submit" class="btn btn-outline-secondary btn-sm"
-                                        title="Dupliquer en brouillon">⧉</button>
-                            </form>
+                            <button type="submit" form="dup-<?= htmlspecialchars($a['uuid']) ?>"
+                                    class="btn btn-outline-secondary btn-sm ms-1"
+                                    title="Dupliquer en brouillon">⧉</button>
                         </td>
                     </tr>
                 <?php endforeach; ?>
             </tbody>
         </table>
     </form>
+    <?php
+    /* Formulaires hors bulk-form (nested forms invalides en HTML) */
+    $_backUrl = '/admin/articles?' . http_build_query(array_filter([
+        'filter_author'   => $adminData['filter_author']   ?? '',
+        'filter_category' => $adminData['filter_category'] ?? '',
+        'filter_status'   => $adminData['filter_status']   ?? '',
+        'filter_search'   => $adminData['filter_search']   ?? '',
+        'filter_featured' => $adminData['filter_featured'] ?? '',
+        'sort'            => $_sortBy,
+        'dir'             => $_sortDir,
+    ], fn ($v) => $v !== ''));
+    foreach ($adminData['articles'] as $_fa):
+    ?>
+    <form id="toggle-featured-<?= htmlspecialchars($_fa['uuid']) ?>" method="post" action="/?action=admin_toggle_featured" hidden>
+        <input type="hidden" name="uuid" value="<?= htmlspecialchars($_fa['uuid']) ?>">
+        <input type="hidden" name="_back" value="<?= htmlspecialchars($_backUrl) ?>">
+    </form>
+    <form id="dup-<?= htmlspecialchars($_fa['uuid']) ?>" method="post" action="/duplicate/<?= htmlspecialchars($_fa['uuid']) ?>" hidden>
+    </form>
+    <?php endforeach; ?>
     <script src="/assets/js/admin.js" defer></script>
     <?php endif; ?>