fix bug when update owner team then visit team's repo return 404 (#6119) (#6166)

Fix heatmap and repository menu display in Internet Explorer 9+ (#6117) (#6137)

Fix prohibit login check on authorization (#6106) (#6115)

* Fix prohibit login check on authorization (#6106)

* fix bug prohibit login not applied on dashboard

* fix tests

* fix bug user status leak

* fix typo

* return after render

* remove unused tests

Move to ldap.v3 to fix #5928 (#6105) (#6107)

Signed-off-by: Andrew Thornton <art27@cantab.net>

Fix deadlock in webhook PullRequest (#6102) (#6104)

Signed-off-by: Andrew Thornton <art27@cantab.net>

modules/context/auth.go: fix redirect loop (#5965) (#6101)

Closes #5815

Issue 5924 fix compare button (#5929) (#6098)

* Revert #5877

This unfortunately was not the solution.

Signed-off-by: Andrew Thornton <art27@cantab.net>
* Change permission check to create pull requests to CanReadIssuesOrPulls

Signed-off-by: Andrew Thornton <art27@cantab.net>

Recover panic in orgmode.Render if bad orgfile (#4982) (#5903) (#6097)

This PR protects against the panic referred to in chaseadmsio/goorgeous#82
by recovering from the panic and just returning the raw bytes if
there is an error.

Signed-off-by: Andrew Thornton <art27@cantab.net>

Changelog for release v1.7.2 (#6084)

In basic auth check for tokens before call UserSignIn (#5725) (#6083)

* Check first if user/password is a token

* In basic auth check if user/password is a token

* Remove unnecessary else statement

* Changes of fmt

1.7.2 changelog (#6079)

Switch to more recent build of xgo (#6070) (#6072)

Make sure labels are actually returned (#6053) (#6059)

Create repository on organisation by default on its dashboard (#6026) (#6048)

* Create repository on organisation by default on its dashboard
* Only show owners the add new repositories to an organisation button.

Fix #3253

Signed-off-by: Andrew Thornton <art27@cantab.net>

Fix metrics auth token detection (#6006) (#6017)

Backport of #6006

Signed-off-by: Pauls Barkans <paulsb@gmail.com>

Fix empty ssh key importing in ldap (#5984) (#6009)

fix bug when deleting a linked account will removed all (#5989) (#5990)

Fix ssh deploy and user key constraints (#1357) (#5939) (#5966)

Backport of #5939

1. A key can either be an ssh user key or a deploy key. It cannot be both.
2. If a key is a user key - it can only be associated with one user.
3. If a key is a deploy key - it can be used in multiple repositories and the permissions it has on those repositories can be different.
4. If a repository is deleted, its deploy keys must be deleted too.

We currently don't enforce any of this and multiple repositories access with different permissions doesn't work at all. This PR enforces the following constraints:

- [x] You should not be able to add the same user key as another user
- [x] You should not be able to add a ssh user key which is being used as a deploy key
- [x] You should not be able to add a ssh deploy key which is being used as a user key
- [x] If you add an ssh deploy key to another repository you should be able to use it in different modes without losing the ability to use it in the other mode.
- [x] If you delete a repository you must delete all its deploy keys.

Fix #1357

show user who created the repository instead of the organization in action feed (#5948) (#5956)

handle milestone events for issues and PR (#5947) (#5955)

Backport of #5947

Fix #5866: Silence console logger in gitea serv  (#5887) (#5943)

By default, if `setting.NewContext()` prints out any warning logs, these are printed to the stdout breaking `git receive-pack` etc. meaning that even if there is a warning because of a minor problem in your app.ini but gitea starts despite this - you **CANNOT** push or pull over SSH.

This PR disables the console logger whilst in `serv.go`

Signed-off-by: Andrew Thornton <art27@cantab.net>

Fix notifications on pushing with deploy keys by setting hook environment variables (#5935) (#5944)

The gitea prerecieve and postrecieve hooks and the gitea PushUpdate function require that the PusherID and PusherName are real users. Previously, these environment variables were not being set when using a deploy key - the main result being that pushing to empty repositories meant that is_empty status was not changed.

I've also added an integration test to ensure that the is_empty status is updated on pushing with a deploy key.

There is a slight issue in that the deploy key is now considered a proxy for the owner - we don't have a way of separating out the deploy key from the owner at present. This can be fixed in another PR.

Fix #3795

Signed-off-by: Andrew Thornton art27@cantab.net

Remove all CommitStatus when a repo is deleted (#5941)

Signed-off-by: jolheiser <john.olheiser@gmail.com>

1.7.1 changelog (#5918)

Disable redirect for i18n (#5910) (#5916)

fix compare button on upstream repo leading to 404 (#5877) (#5914)

respect value of REQUIRE_SIGNIN_VIEW (#5901) (#5915)

Fix bug when read public repo lfs file (#5913)

* fix bug when read public repo lfs file

* add comment on lfs permission check

Only allow local login if password is non-empty (#5906) (#5908)

Fix go-get URL generation (#5905) (#5907)

Prevent nil dereference in mailIssueCommentToParticipants (#5891, #5895) (#5894)

* Ensure issue.Poster is loaded in mailIssueCommentToParticipants (#5891)

Previous code could potentially dereference nil - this PR ensures
that the poster is loaded before dereferencing it.

Signed-off-by: Andrew Thornton <art27@cantab.net>
* Also ensure the repo is loaded

Signed-off-by: Andrew Thornton <art27@cantab.net>

When creating new repository fsck option should be enabled (#5817) (#5885)

API: Fix null pointer in attempt to Sudo if not logged in (#5872) (#5884)

Backport of #5872 to v1.7

Signed-off-by: Andrew Thornton <art27@cantab.net>

Fix an error while adding a dependency via UI. (Backport #5862) (#5876)

Fixes: #5783.

Fix delete correct temp directory (#5840)

Added docs for the tree api (#5835)

* Added docs for the tree api

* Updated swagger docs

* Added missing response definition

* Updated swagger docs

* Fixed swagger docs

Backport #5830 : Include Go toolchain to --version (#5832)

* Include Go version

* fix import order

 Request for public keys only if LDAP attribute is set  (#5816) (#5819)

* Update go-ldap dependency

* Request for public keys only if attribute is set

Fix TLS errors when using acme/autocert for local connections (#5820) (#5826)

1.7.0 changelog (#5802)

Disallow empty titles (#5785) (#5794)

* add util method and tests

* make sure the title of an issue cannot be empty

* wiki title cannot be empty

* pull request title cannot be empty

* update to make use of the new util methof

1.7.0-rc3 changelog (#5756)

backport 1.6.4 changelog to 1.7 branch (#5741)

fix: use correct value for "MSpan Structures Obtained" #4742 (#5706) (#5716)

Signed-off-by: Julian Tölle <julian.toelle97@gmail.com>

Do not display the raw OpenID error in the UI (#5705) (#5712)

* Do not display the raw OpenID error in the UI

If there are no `WHITELIST_URIS` or `BLACKLIST_URIS` set in the openid
section of the app.ini, it is possible that gitea can leak sensitive
information about the local network through the error provided by the
UI. This PR hides the error information and logs it.

Fix #4973

Signed-off-by: Andrew Thornton <art27@cantab.net>
* Update auth_openid.go

Place error log within the `err != nil` branch.

Update xorm to fix issue #5659 and #5651 (#5680) (#5692)

fix public will not be reused as public key after deleting as deploy key (#5671) (#5684)

When redirecting clean the path to avoid redirecting to //www.othersite.com (#5669) (#5679)

Fix #5627

Signed-off-by: Andrew Thornton <art27@cantab.net>

Only count users own actions for heatmap contributions (#5647) (#5655)

Signed-off-by: Julian Tölle <julian.toelle97@gmail.com>

fix commit page showing status for current default branch (#5650) (#5653)

Signed-off-by: Julian Tölle <julian.toelle97@gmail.com>

Don't close issues via commits on non-default branch. (#5622) (#5643)

Adds a small check to close the issues only if the referencing commits
are on the default branch.

Fixes: #2314.

Fix sqlite deadlock when assigning to a PR (#5640) (#5642)

* Fix sqlite deadlock when assigning to a PR

Fix 5639

Signed-off-by: Andrew Thornton <art27@cantab.net>
* More possible deadlocks found and fixed

Signed-off-by: Andrew Thornton <art27@cantab.net>

Add changelog for 1.6.3 and 1.7.0-rc2 (#5638)

Signed-off-by: Jonas Franz <info@jonasfranz.software>

SECURITY: protect DeleteFilePost et al with cleanUploadFileName (#5631) (#5635)

This commit wraps more of the TreePaths with cleanUploadFileName

Signed-off-by: Andrew Thornton <art27@cantab.net>

Backport latest translation changes

Documentation: Clarity for HTTPS setups (#5626)

[https-setup]
- Made it clearer that HTTP redirection is possible
[config-cheat-sheet]
- Clarified the behavihour of the redirection-related config keys

Signed-off-by: Matti Ranta <matti@mdranta.net>

[skip ci] Updated translations via Crowdin

Add changelog for 1.7.0-rc1 (#5616)

* Add changelog for 1.7.0-rc1

* Change position of refactoring of heatmap

* Refactoring some items in changelog

* Fix wrong PR title in changelog

Signed-off-by: Jonas Franz <info@jonasfranz.software>
* Remove backported PRs

Signed-off-by: Jonas Franz <info@jonasfranz.software>
* Fix wrong date

Signed-off-by: Jonas Franz <info@jonasfranz.software>
* Add new PR to list

* Security fixes have been backported

Fix bug on modifying sshd username (#5624)

Should fix #5623

Update @jonasfranz's username (#5619)

* Update @jonasfranz's username

* lowercase'd username

Update owners & Date in contributing (#5620)

[skip ci] Updated translations via Crowdin

branch: Trigger update when deleting branch via UI. (#5617)

Fixes: #5309.

Issue is not overdue when it is on the same date #5566 (#5568)

* Due date time of issues and milestones is set to 23:59:59

* Add docs

* make gen swagger

* fix swagger gen

mirror: Delete tags in mirror which are removed for original repo. (#5609)

This bug was being caused by an error in the logic in `release.go`.
Credit to @yasuokav for tracing the root of the issue.

Fixes: #5192.

update v71.go to resolve #5595 (#5613)

[skip ci] Updated translations via Crowdin

Fix wrong text getting saved on editing second comment on an issue. (#5608)

* comments: Fix an incorrent DOM element selection.

This commit fixes a bug that was causing text from previously edited
comment to get saved when two comments were edited one after other.
Text area with id of `#content` isn't unique on the page but it was
being treated as unique by the event handling code.

Fixes: #5581.
* templates: Remove `id` from textarea in commit edit form.

An element is assigned an `id` only if it is unique for the whole page
but in this case there can be multiple textarea so it should have one.

Webhook for Pull Request approval/rejection (#5027)

Synchronize SSH keys on login with LDAP + Fix SQLite deadlock on ldap ssh key deletion (#5557)

* Synchronize SSH keys on login with LDAP

* BUG: Fix hang on sqlite during LDAP key deletion

LDAP via simple auth separate bind user and search base (#5055)

Delete organization endpoint added (#5601)

* Delete organization endpoint added

* Parameters added in comment

* Typo fix

* Newline character removed

fix nil pointer when adding a due date  (#5587)

* fix nil pointer

* remove nil check and just call loadRepo regardless

Make sure argsSet verifies string isn't empty too (#4980)

Add rebase with merge commit merge style (#3844) (#4052)

Signed-off-by: Julian Tölle <julian.toelle97@gmail.com>

Remove MTecknology from MAINTAINERS (#5599)

[skip ci] Updated translations via Crowdin

Fix route in swagger (#5598)

[skip ci] Updated translations via Crowdin

Gitlab does have discord integration now (#5589)

drone/mssql: use golang 1.11 build like the other tests (#5586)

Fix translation errors in doc advanced part (zh-cn) (#5112)

* ZH-CN translation of Advanced part

* Fix translation errors

* Resolve issues

backport 1.6.2 changelog (#5576)

Fix type mismatch of format string (#5574)

Immediate fix to htmlEncode user added text (#5570)

There are likely problems remaining with the way that initCommentForm
is creating its elements. I suspect that a malformed avatar url could
be used maliciously.

fix bug on upload file name (#5571)

Create stale bot config (#5243)

[skip ci] Updated translations via Crowdin

fix table name typo on SQL (#5562)

* fix table name typo on SQL

* fix reserved word user when on mssql

fix indexer reindex bug when gitea restart (#5563)

* fix issue indexer bug reindex when restart gitea

* also fix code indexer reindex when gitea restart

Update Licenses (#5558)

fix lfs version check warning log when using ssh protocol (#5501)

Support reverse proxy providing email (#5554)

This PR implements #2347

fix forgot removed records when deleting user (#5429)

* fix forgot removed records when deleting user

* fix migration

* fix rewritekey lock on sqlite

* remove unused codes

Add base repo nil check (#5555)

Signed-off-by: Jonas Franz <info@jonasfranz.software>

[skip ci] Updated translations via Crowdin

Fix makefile generate buildstep (#5556)

Signed-off-by: Jonas Franz <info@jonasfranz.software>

Improve performance of dashboard (#4977)

[skip ci] Updated translations via Crowdin

Remove a double slash in the HTTPS redirection when Let's Encrypt is enabled (#5537)

Before:

$ curl 0.0.0.0:3001
<a href="https://gitea.example.com:3000//">Found</a>.

After:

$ curl 0.0.0.0:3001
<a href="https://gitea.example.com:3000/">Found</a>.

Fixes #5536