Token caché si accès anonyme autorisé

Le token était divulgé à tout le monde en accédant au flux RSS généré par FreshRSS via le lien Le token n'est plus affiché désormais si l'accès anonyme est autorisé
author: Marien Fressinaud <dev@marienfressinaud.fr> 2013-11-08 20:46:36 +0100
committer: Marien Fressinaud <dev@marienfressinaud.fr> 2013-11-08 20:46:36 +0100
commit: 02e3bd2b7d762a50099bb4d90234d2eae858a060 (patch)
tree: 55e2effda35023b3ce5fcc2126379748608b6ece /app/layout
parent: 1b9f16771c9feaf44c088f58f598fcc08b7bbea8 (diff)
1 files changed, 3 insertions, 1 deletions
diff --git a/app/layout/nav_menu.phtml b/app/layout/nav_menu.phtml
index 4456dff65..93287b84c 100644
--- a/app/layout/nav_menu.phtml
+++ b/app/layout/nav_menu.phtml
@@ -130,7 +130,9 @@
 					}
 
 					$token = $this->conf->token ();
-					if (login_is_conf($this->conf) && $token != '') {
+					if (login_is_conf($this->conf) &&
+							$this->conf->anonAccess() == 'no' &&
+							$token != '') {
 						$params['token'] = $token;
 					}
author	Marien Fressinaud <dev@marienfressinaud.fr>	2013-11-08 20:46:36 +0100
committer	Marien Fressinaud <dev@marienfressinaud.fr>	2013-11-08 20:46:36 +0100
commit	02e3bd2b7d762a50099bb4d90234d2eae858a060 (patch)
tree	55e2effda35023b3ce5fcc2126379748608b6ece /app/layout
parent	1b9f16771c9feaf44c088f58f598fcc08b7bbea8 (diff)