From 8062daef7543f9a509f209cf95425a05390194eb Mon Sep 17 00:00:00 2001
From: Miguel Barão <miguel.barao@gmail.com>
Date: Sat, 27 Jan 2018 22:11:56 +0000
Subject: [PATCH] - added support for xsrf (cross site request forgery)

---
 BUGS.md                   | 14 +++++++-------
 serve.py                  |  2 +-
 templates/maintopics.html |  7 +++++++
 templates/topic.html      |  2 --
 4 files changed, 15 insertions(+), 10 deletions(-)

diff --git a/BUGS.md b/BUGS.md
index 7a91a0d..35bde3c 100644
--- a/BUGS.md
+++ b/BUGS.md
@@ -1,24 +1,23 @@
 
-BUGS:
+# BUGS
 
 - detect questions in questions.yaml without ref -> error ou generate default.
 - topicos virtuais nao deveriam aparecer. na construção da árvore os sucessores seriam ligados directamente aos predecessores.
 - Criar outra estrutura organizada em capítulos (conjuntos de tópicos). Permitir capítulos de capítulos, etc. talvez usar grafos de grafos...
 - error if demo.yaml has no topics
 - session management. close after inactive time.
-- implementar xsrf. Ver [http://www.tornadoweb.org/en/stable/guide/security.html#cross-site-request-forgery-protection]()
 - generators not working: bcrypt (ver blog)
 - tabelas nas perguntas radio/checkbox não ocupam todo o espaço como em question.
 - mover javascript para ficheiros externos e carregar com <script defer src='...'>
 
-TODO:
+# TODO
 
-- pertuntas tipo tristate: (sim, não, não sei
+- update de fontawesome para versão 5.
 - reportar comentarios após submeter.
 - each topic only loads a sample of K questions (max) in random order.
 - servir imagens/ficheiros.
+- pertuntas tipo tristate: (sim, não, não sei
 - forçar reload das perguntas sem ter de deitar abaixo o servidor.
-- update de fontawesome para versão 5.
 - reload das perguntas enquanto online.
 - tabela de progresso de todos os alunos por topico.
 - tabela com perguntas / quantidade de respostas certas/erradas.
@@ -27,12 +26,13 @@ TODO:
 - implementar servidor http com redirect para https.
 - usar codemirror no textarea
 - ao fim de 3 tentativas com password errada, envia email com nova password.
-- titulos das perguntas não suportam markdown. 
+- titulos das perguntas não suportam markdown.
 - pagina report que permita ver tabela alunos/topicos, estatisticas perguntas mais falhadas, tempo médio por pergunta.
 - normalizar com perguntations.
 
-FIXED:
+# FIXED
 
+- implementar xsrf. Ver [http://www.tornadoweb.org/en/stable/guide/security.html#cross-site-request-forgery-protection]()
 - se refs de um topic estao invalidos, nao carrega esse topico. devia haver um error nos logs a indicar qual o ref invalido.
 - link directo para topico nao valida se topico esta unlocked.
 - templates not working: quesntion-information, question-warning (remove all informative panels??)
diff --git a/serve.py b/serve.py
index d768db2..4f55f19 100755
--- a/serve.py
+++ b/serve.py
@@ -37,7 +37,7 @@ class WebApplication(tornado.web.Application):
             'template_path': path.join(path.dirname(__file__), 'templates'),
             'static_path':   path.join(path.dirname(__file__), 'static'),
             'static_url_prefix': '/static/',
-            'xsrf_cookies': False, # FIXME see how to do it...
+            'xsrf_cookies': True,
             'cookie_secret': base64.b64encode(uuid.uuid4().bytes),
             'login_url': '/login',
             'debug': debug,
diff --git a/templates/maintopics.html b/templates/maintopics.html
index 37481df..85cad0a 100644
--- a/templates/maintopics.html
+++ b/templates/maintopics.html
@@ -138,10 +138,17 @@
     $("#notifications").fadeIn(250).delay(5000).fadeOut(500);
   }
 
+  function getCookie(name) {
+    var r = document.cookie.match("\\b" + name + "=([^;]*)\\b");
+    return r ? r[1] : undefined;
+  }
+
   function change_password() {
+      var token = getCookie('_xsrf');
       $.ajax({
           type: "POST",
           url: "/change_password",
+          headers: {'X-XSRFToken' : token },
           data: {
               "new_password": $("#new_password").val(),
           },
diff --git a/templates/topic.html b/templates/topic.html
index d72b282..b8567a8 100644
--- a/templates/topic.html
+++ b/templates/topic.html
@@ -190,7 +190,6 @@
         $.ajax({
             type: "GET",
             url: "/question",
-            // headers: {"X-XSRFToken": token},
             dataType: "json", // expected from server
             success: updateQuestion,
             error: function() {alert("O servidor não responde.");}
@@ -203,7 +202,6 @@
         $.ajax({
             type: "POST",
             url: "/question",
-            // headers: {"X-XSRFToken": token},
             data: $("#question_form").serialize(), // {'a':10,'b':20},
             dataType: "json", // expected from server
             success: updateQuestion,
--
libgit2 0.21.2