6e42c8a39cd95576b1d13c4ab59dd626b52d71e6
[jelmer/samba4-debian.git] / source / web_server / http.c
1 /* 
2    Unix SMB/CIFS implementation.
3
4    http handling code
5
6    Copyright (C) Andrew Tridgell 2005
7    
8    This program is free software; you can redistribute it and/or modify
9    it under the terms of the GNU General Public License as published by
10    the Free Software Foundation; either version 2 of the License, or
11    (at your option) any later version.
12    
13    This program is distributed in the hope that it will be useful,
14    but WITHOUT ANY WARRANTY; without even the implied warranty of
15    MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
16    GNU General Public License for more details.
17    
18    You should have received a copy of the GNU General Public License
19    along with this program; if not, write to the Free Software
20    Foundation, Inc., 675 Mass Ave, Cambridge, MA 02139, USA.
21 */
22
23 #include "includes.h"
24 #include "smbd/service_task.h"
25 #include "web_server/web_server.h"
26 #include "smbd/service_stream.h"
27 #include "smbd/service.h"
28 #include "lib/events/events.h"
29 #include "system/time.h"
30 #include "lib/appweb/esp/esp.h"
31 #include "lib/appweb/ejs/ejsInternal.h"
32 #include "lib/util/dlinklist.h"
33 #include "lib/tls/tls.h"
34 #include "scripting/ejs/smbcalls.h"
35
36 #define SWAT_SESSION_KEY "SwatSessionId"
37 #define HTTP_PREAUTH_URI "/scripting/preauth.esp"
38 #define JSONRPC_REQUEST "/services"
39
40 /* state of the esp subsystem for a specific request */
41 struct esp_state {
42         struct websrv_context *web;
43         struct EspRequest *req;
44         struct MprVar variables[ESP_OBJ_MAX];
45         struct session_data *session;
46 };
47
48 /*
49   output the http headers
50 */
51 static void http_output_headers(struct websrv_context *web)
52 {
53         int i;
54         char *s;
55         DATA_BLOB b;
56         uint32_t content_length = 0;
57         const char *response_string = "Unknown Code";
58         const struct {
59                 unsigned code;
60                 const char *response_string;
61         } codes[] = {
62                 { 200, "OK" },
63                 { 301, "Moved" },
64                 { 302, "Found" },
65                 { 303, "Method" },
66                 { 304, "Not Modified" },
67                 { 400, "Bad request" },
68                 { 401, "Unauthorized" },
69                 { 403, "Forbidden" },
70                 { 404, "Not Found" },
71                 { 500, "Internal Server Error" },
72                 { 501, "Not implemented" }
73         };
74         for (i=0;i<ARRAY_SIZE(codes);i++) {
75                 if (codes[i].code == web->output.response_code) {
76                         response_string = codes[i].response_string;
77                 }
78         }
79
80         if (web->output.headers == NULL) return;
81         s = talloc_asprintf(web, "HTTP/1.0 %u %s\r\n", 
82                             web->output.response_code, response_string);
83         if (s == NULL) return;
84         for (i=0;web->output.headers[i];i++) {
85                 s = talloc_asprintf_append(s, "%s\r\n", web->output.headers[i]);
86         }
87
88         /* work out the content length */
89         content_length = web->output.content.length;
90         if (web->output.fd != -1) {
91                 struct stat st;
92                 fstat(web->output.fd, &st);
93                 content_length += st.st_size;
94         }
95         s = talloc_asprintf_append(s, "Content-Length: %u\r\n\r\n", content_length);
96         if (s == NULL) return;
97
98         b = web->output.content;
99         web->output.content = data_blob_string_const(s);
100         data_blob_append(web, &web->output.content, b.data, b.length);
101         data_blob_free(&b);
102 }
103
104 /*
105   return the local path for a URL
106 */
107 static const char *http_local_path(struct websrv_context *web, const char *url)
108 {
109         int i;
110         char *path;
111
112         /* check that the url is OK */
113         if (url[0] != '/') return NULL;
114
115         for (i=0;url[i];i++) {
116                 if ((!isalnum((unsigned char)url[i]) && !strchr("./_", url[i])) ||
117                     (url[i] == '.' && strchr("/.", url[i+1]))) {
118                         return NULL;
119                 }
120         }
121
122         path = talloc_asprintf(web, "%s/%s", lp_swat_directory(), url+1);
123         if (path == NULL) return NULL;
124
125         if (directory_exist(path)) {
126                 path = talloc_asprintf_append(path, "/index.esp");
127         }
128         return path;
129 }
130
131 /*
132   called when esp wants to read a file to support include() calls
133 */
134 static int http_readFile(EspHandle handle, char **buf, int *len, const char *path)
135 {
136         struct websrv_context *web = talloc_get_type(handle, struct websrv_context);
137         int fd = -1;
138         struct stat st;
139         *buf = NULL;
140
141         path = http_local_path(web, path);
142         if (path == NULL) goto failed;
143
144         fd = open(path, O_RDONLY);
145         if (fd == -1 || fstat(fd, &st) != 0 || !S_ISREG(st.st_mode)) goto failed;
146
147         *buf = talloc_size(handle, st.st_size+1);
148         if (*buf == NULL) goto failed;
149
150         if (read(fd, *buf, st.st_size) != st.st_size) goto failed;
151
152         (*buf)[st.st_size] = 0;
153
154         close(fd);
155         *len = st.st_size;
156         return 0;
157
158 failed:
159         DEBUG(0,("Failed to read file %s - %s\n", path, strerror(errno)));
160         if (fd != -1) close(fd);
161         talloc_free(*buf);
162         *buf = NULL;
163         return -1;
164 }
165
166 /*
167   called when esp wants to find the real path of a file
168 */
169 static int http_mapToStorage(EspHandle handle, char *path, int len, const char *uri, int flags)
170 {
171         if (uri == NULL || strlen(uri) >= len) return -1;
172         strncpy(path, uri, len);
173         return 0;
174 }
175
176 /*
177   called when esp wants to output something
178 */
179 static int http_writeBlock(EspHandle handle, const char *buf, int size)
180 {
181         struct websrv_context *web = talloc_get_type(handle, struct websrv_context);
182         NTSTATUS status;
183         status = data_blob_append(web, &web->output.content, buf, size);
184         if (!NT_STATUS_IS_OK(status)) return -1;
185         return size;
186 }
187
188
189 /*
190   set a http header
191 */
192 static void http_setHeader(EspHandle handle, const char *value, bool allowMultiple)
193 {
194         struct websrv_context *web = talloc_get_type(handle, struct websrv_context);
195         char *p = strchr(value, ':');
196
197         if (p && !allowMultiple && web->output.headers) {
198                 int i;
199                 for (i=0;web->output.headers[i];i++) {
200                         if (strncmp(web->output.headers[i], value, (p+1)-value) == 0) {
201                                 web->output.headers[i] = talloc_strdup(web, value);
202                                 return;
203                         }
204                 }
205         }
206
207         web->output.headers = str_list_add(web->output.headers, value);
208         talloc_steal(web, web->output.headers);
209 }
210
211 /*
212   set a http response code
213 */
214 static void http_setResponseCode(EspHandle handle, int code)
215 {
216         struct websrv_context *web = talloc_get_type(handle, struct websrv_context);
217         web->output.response_code = code;
218 }
219
220 /*
221   redirect to another web page
222  */
223 static void http_redirect(EspHandle handle, int code, char *url)
224 {
225         struct websrv_context *web = talloc_get_type(handle, struct websrv_context);
226         const char *host = web->input.host;
227         
228         /* form the full url, unless it already looks like a url */
229         if (strchr(url, ':') == NULL) {
230                 if (host == NULL) {
231                         struct socket_address *socket_address = socket_get_my_addr(web->conn->socket, web);
232                         if (socket_address == NULL) goto internal_error;
233                         host = talloc_asprintf(web, "%s:%u",
234                                                socket_address->addr, socket_address->port);
235                 }
236                 if (host == NULL) goto internal_error;
237                 if (url[0] != '/') {
238                         char *p = strrchr(web->input.url, '/');
239                         if (p == web->input.url) {
240                                 url = talloc_asprintf(web, "http%s://%s/%s", 
241                                                       tls_enabled(web->conn->socket)?"s":"",
242                                                       host, url);
243                         } else {
244                                 int dirlen = p - web->input.url;
245                                 url = talloc_asprintf(web, "http%s://%s%*.*s/%s",
246                                                       tls_enabled(web->conn->socket)?"s":"",
247                                                       host, 
248                                                       dirlen, dirlen, web->input.url,
249                                                       url);
250                         }
251                         if (url == NULL) goto internal_error;
252                 }
253         }
254
255         http_setHeader(handle, talloc_asprintf(web, "Location: %s", url), 0);
256
257         /* make sure we give a valid redirect code */
258         if (code >= 300 && code < 400) {
259                 http_setResponseCode(handle, code);
260         } else {
261                 http_setResponseCode(handle, 302);
262         }
263         return;
264
265 internal_error:
266         http_error(web, 500, "Internal server error");
267 }
268
269
270 /*
271   setup a cookie
272 */
273 static void http_setCookie(EspHandle handle, const char *name, const char *value, 
274                            int lifetime, const char *path, bool secure)
275 {
276         struct websrv_context *web = talloc_get_type(handle, struct websrv_context);
277         char *buf;
278         
279         if (lifetime > 0) {
280                 buf = talloc_asprintf(web, "Set-Cookie: %s=%s; path=%s; Expires=%s; %s",
281                                       name, value, path?path:"/", 
282                                       http_timestring(web, time(NULL)+lifetime),
283                                       secure?"secure":"");
284         } else {
285                 buf = talloc_asprintf(web, "Set-Cookie: %s=%s; path=%s; %s",
286                                       name, value, path?path:"/", 
287                                       secure?"secure":"");
288         }
289         http_setHeader(handle, "Cache-control: no-cache=\"set-cookie\"", 0);
290         http_setHeader(handle, buf, 0);
291         talloc_free(buf);
292 }
293
294 /*
295   return the session id
296 */
297 static const char *http_getSessionId(EspHandle handle)
298 {
299         struct websrv_context *web = talloc_get_type(handle, struct websrv_context);
300         return web->session->id;
301 }
302
303 /*
304   setup a session
305 */
306 static void http_createSession(EspHandle handle, int timeout)
307 {
308         struct websrv_context *web = talloc_get_type(handle, struct websrv_context);
309         if (web->session) {
310                 web->session->lifetime = timeout;
311                 http_setCookie(web, SWAT_SESSION_KEY, web->session->id, 
312                                web->session->lifetime, "/", 0);
313         }
314 }
315
316 /*
317   destroy a session
318 */
319 static void http_destroySession(EspHandle handle)
320 {
321         struct websrv_context *web = talloc_get_type(handle, struct websrv_context);
322         talloc_free(web->session);
323         web->session = NULL;
324 }
325
326
327 /*
328   setup for a raw http level error
329 */
330 void http_error(struct websrv_context *web, int code, const char *info)
331 {
332         char *s;
333         s = talloc_asprintf(web,"<HTML><HEAD><TITLE>Error %u</TITLE></HEAD><BODY><H1>Error %u</H1><pre>%s</pre><p></BODY></HTML>\r\n\r\n", 
334                             code, code, info);
335         if (s == NULL) {
336                 stream_terminate_connection(web->conn, "http_error: out of memory");
337                 return;
338         }
339         http_writeBlock(web, s, strlen(s));
340         http_setResponseCode(web, code);
341         http_output_headers(web);
342         EVENT_FD_NOT_READABLE(web->conn->event.fde);
343         EVENT_FD_WRITEABLE(web->conn->event.fde);
344         web->output.output_pending = True;
345 }
346
347 /*
348   map a unix error code to a http error
349 */
350 void http_error_unix(struct websrv_context *web, const char *info)
351 {
352         int code = 500;
353         switch (errno) {
354         case ENOENT:
355         case EISDIR:
356                 code = 404;
357                 break;
358         case EACCES:
359                 code = 403;
360                 break;
361         }
362         info = talloc_asprintf(web, "%s<p>%s<p>\n", info, strerror(errno));
363         http_error(web, code, info);
364 }
365
366
367 /*
368   a simple file request
369 */
370 static void http_simple_request(struct websrv_context *web)
371 {
372         const char *url = web->input.url;
373         const char *path;
374         struct stat st;
375
376         path = http_local_path(web, url);
377         if (path == NULL) goto invalid;
378
379         /* looks ok */
380         web->output.fd = open(path, O_RDONLY);
381         if (web->output.fd == -1) {
382                 DEBUG(0,("Failed to read file %s - %s\n", path, strerror(errno)));
383                 http_error_unix(web, path);
384                 return;
385         }
386
387         if (fstat(web->output.fd, &st) != 0 || !S_ISREG(st.st_mode)) {
388                 close(web->output.fd);
389                 goto invalid;
390         }
391
392         return;
393
394 invalid:
395         http_error(web, 400, "Malformed URL");
396 }
397
398 /*
399   setup the standard ESP arrays
400 */
401 static void http_setup_arrays(struct esp_state *esp)
402 {
403         struct websrv_context *web = esp->web;
404         struct esp_data *edata = talloc_get_type(web->task->private, struct esp_data);
405         struct EspRequest *req = esp->req;
406         struct socket_address *socket_address = socket_get_my_addr(web->conn->socket, esp);
407         struct socket_address *peer_address = socket_get_peer_addr(web->conn->socket, esp);
408         char *p;
409
410 #define SETVAR(type, name, value) do { \
411                 const char *v = value; \
412                 if (v) espSetStringVar(req, type, name, v); \
413 } while (0)
414
415         SETVAR(ESP_REQUEST_OBJ, "CONTENT_LENGTH", 
416                talloc_asprintf(esp, "%u", web->input.content_length));
417         SETVAR(ESP_REQUEST_OBJ, "QUERY_STRING", web->input.query_string);
418 #if 0 /* djl -- not yet.  need to track down the compiler warning */
419         SETVAR(ESP_REQUEST_OBJ, "POST_DATA", web->input.partial);
420 #endif
421         SETVAR(ESP_REQUEST_OBJ, "REQUEST_METHOD", web->input.post_request?"POST":"GET");
422         SETVAR(ESP_REQUEST_OBJ, "REQUEST_URI", web->input.url);
423         p = strrchr(web->input.url, '/');
424         SETVAR(ESP_REQUEST_OBJ, "SCRIPT_NAME", p+1);
425         SETVAR(ESP_REQUEST_OBJ, "SCRIPT_FILENAME", web->input.url);
426         if (peer_address) {
427                 struct MprVar mpv = mprObject("socket_address");
428                 mprSetPtrChild(&mpv, "socket_address", peer_address);
429                 espSetVar(req, ESP_REQUEST_OBJ, "REMOTE_SOCKET_ADDRESS", mpv);
430
431                 SETVAR(ESP_REQUEST_OBJ, "REMOTE_ADDR", peer_address->addr);
432         }
433         p = socket_get_peer_name(web->conn->socket, esp);
434         SETVAR(ESP_REQUEST_OBJ, "REMOTE_HOST", p);
435         SETVAR(ESP_REQUEST_OBJ, "REMOTE_USER", "");
436         SETVAR(ESP_REQUEST_OBJ, "CONTENT_TYPE", web->input.content_type);
437         if (web->session) {
438                 SETVAR(ESP_REQUEST_OBJ, "SESSION_ID", web->session->id);
439         }
440         SETVAR(ESP_REQUEST_OBJ, "COOKIE_SUPPORT", web->input.cookie?"True":"False");
441
442         SETVAR(ESP_HEADERS_OBJ, "HTT_REFERER", web->input.referer);
443         SETVAR(ESP_HEADERS_OBJ, "HOST", web->input.host);
444         SETVAR(ESP_HEADERS_OBJ, "ACCEPT_ENCODING", web->input.accept_encoding);
445         SETVAR(ESP_HEADERS_OBJ, "ACCEPT_LANGUAGE", web->input.accept_language);
446         SETVAR(ESP_HEADERS_OBJ, "ACCEPT_CHARSET", web->input.accept_charset);
447         SETVAR(ESP_HEADERS_OBJ, "COOKIE", web->input.cookie);
448         SETVAR(ESP_HEADERS_OBJ, "USER_AGENT", web->input.user_agent);
449
450         if (socket_address) {
451                 SETVAR(ESP_SERVER_OBJ, "SERVER_ADDR", socket_address->addr);
452                 SETVAR(ESP_SERVER_OBJ, "SERVER_NAME", socket_address->addr);
453                 SETVAR(ESP_SERVER_OBJ, "SERVER_HOST", socket_address->addr);
454                 SETVAR(ESP_SERVER_OBJ, "SERVER_PORT", 
455                        talloc_asprintf(esp, "%u", socket_address->port));
456         }
457
458         SETVAR(ESP_SERVER_OBJ, "DOCUMENT_ROOT", lp_swat_directory());
459         SETVAR(ESP_SERVER_OBJ, "SERVER_PROTOCOL", tls_enabled(web->conn->socket)?"https":"http");
460         SETVAR(ESP_SERVER_OBJ, "SERVER_SOFTWARE", "SWAT");
461         SETVAR(ESP_SERVER_OBJ, "GATEWAY_INTERFACE", "CGI/1.1");
462         SETVAR(ESP_SERVER_OBJ, "TLS_SUPPORT", tls_support(edata->tls_params)?"True":"False");
463 }
464
465 #if HAVE_SETJMP_H
466 /* the esp scripting lirary generates exceptions when
467    it hits a major error. We need to catch these and
468    report a internal server error via http
469 */
470 #include <setjmp.h>
471 static jmp_buf ejs_exception_buf;
472 static const char *exception_reason;
473
474 static void web_server_ejs_exception(const char *reason)
475 {
476         Ejs *ep = ejsPtr(0);
477         if (ep) {
478                 ejsSetErrorMsg(0, "%s", reason);
479                 exception_reason = ep->error;
480         } else {
481                 exception_reason = reason;
482         }
483         DEBUG(0,("%s", exception_reason));
484         longjmp(ejs_exception_buf, -1);
485 }
486 #else
487 static void web_server_ejs_exception(const char *reason)
488 {
489         DEBUG(0,("%s", reason));
490         smb_panic(reason);
491 }
492 #endif
493
494 /*
495   process a esp request
496 */
497 static void esp_request(struct esp_state *esp, const char *url)
498 {
499         struct websrv_context *web = esp->web;
500         int size;
501         int res;
502         char *emsg = NULL, *buf;
503
504         if (http_readFile(web, &buf, &size, url) != 0) {
505                 http_error_unix(web, url);
506                 return;
507         }
508
509 #if HAVE_SETJMP_H
510         if (setjmp(ejs_exception_buf) != 0) {
511                 http_error(web, 500, exception_reason);
512                 return;
513         }
514 #endif
515
516         res = espProcessRequest(esp->req, url, buf, &emsg);
517         if (res != 0 && emsg) {
518                 http_writeBlock(web, "<pre>", 5);
519                 http_writeBlock(web, emsg, strlen(emsg));
520                 http_writeBlock(web, "</pre>", 6);
521         }
522         talloc_free(buf);
523 }
524
525 /*
526   perform pre-authentication on every page is /scripting/preauth.esp
527   exists.  If this script generates any non-whitepace output at all,
528   then we don't run the requested URL.
529
530   note that the preauth is run even for static pages such as images.
531 */
532 static BOOL http_preauth(struct esp_state *esp)
533 {
534         const char *path = http_local_path(esp->web, HTTP_PREAUTH_URI);
535         int i;
536         if (path == NULL) {
537                 http_error(esp->web, 500, "Internal server error");
538                 return False;
539         }
540         if (!file_exist(path)) {
541                 /* if the preath script is not installed then allow access */
542                 return True;
543         }
544         esp_request(esp, HTTP_PREAUTH_URI);
545         for (i=0;i<esp->web->output.content.length;i++) {
546                 if (!isspace(esp->web->output.content.data[i])) {
547                         /* if the preauth has generated content, then force it
548                            to be html, so that we can show the login page for
549                            failed access to images */
550                         http_setHeader(esp->web, "Content-Type: text/html", 0);
551                         return False;
552                 }
553         }
554         data_blob_free(&esp->web->output.content);
555         return True;
556 }
557
558
559 /* 
560    handling of + and % escapes in http variables 
561 */
562 static const char *http_unescape(TALLOC_CTX *mem_ctx, const char *p)
563 {
564         char *s0 = talloc_strdup(mem_ctx, p);
565         char *s = s0;
566         if (s == NULL) return NULL;
567
568         while (*s) {
569                 unsigned v;
570                 if (*s == '+') *s = ' ';
571                 if (*s == '%' && sscanf(s+1, "%02x", &v) == 1) {
572                         *s = (char)v;
573                         memmove(s+1, s+3, strlen(s+3)+1);
574                 }
575                 s++;
576         }
577
578         return s0;
579 }
580
581 /*
582   set a form or GET variable
583 */
584 static void esp_putvar(struct esp_state *esp, const char *var, const char *value)
585 {
586         if (strcasecmp(var, SWAT_SESSION_KEY) == 0) {
587                 /* special case support for browsers without cookie
588                  support */
589                 esp->web->input.session_key = talloc_strdup(esp, value);
590         } else {
591                 mprSetPropertyValue(&esp->variables[ESP_FORM_OBJ], 
592                                     http_unescape(esp, var),
593                                     mprCreateStringVar(http_unescape(esp, value), 0));
594         }
595 }
596
597
598 /*
599   parse the variables in a POST style request
600 */
601 static NTSTATUS http_parse_post(struct esp_state *esp)
602 {
603         DATA_BLOB b = esp->web->input.partial;
604
605         while (b.length) {
606                 char *p, *line;
607                 size_t len;
608
609                 p = memchr(b.data, '&', b.length);
610                 if (p == NULL) {
611                         len = b.length;
612                 } else {
613                         len = p - (char *)b.data;
614                 }
615                 line = talloc_strndup(esp, (char *)b.data, len);
616                 NT_STATUS_HAVE_NO_MEMORY(line);
617                                      
618                 p = strchr(line,'=');
619                 if (p) {
620                         *p = 0;
621                         esp_putvar(esp, line, p+1);
622                 }
623                 talloc_free(line);
624                 b.length -= len;
625                 b.data += len;
626                 if (b.length > 0) {
627                         b.length--;
628                         b.data++;
629                 }
630         }
631
632         return NT_STATUS_OK;
633 }
634
635 /*
636   parse the variables in a GET style request
637 */
638 static NTSTATUS http_parse_get(struct esp_state *esp)
639 {
640         struct websrv_context *web = esp->web;
641         char *p, *s, *tok;
642         char *pp;
643
644         p = strchr(web->input.url, '?');
645         web->input.query_string = p+1;
646         *p = 0;
647
648         s = talloc_strdup(esp, esp->web->input.query_string);
649         NT_STATUS_HAVE_NO_MEMORY(s);
650
651         for (tok=strtok_r(s,"&;", &pp);tok;tok=strtok_r(NULL,"&;", &pp)) {
652                 p = strchr(tok,'=');
653                 if (p) {
654                         *p = 0;
655                         esp_putvar(esp, tok, p+1);
656                 }
657         }
658         return NT_STATUS_OK;
659 }
660
661 /*
662   called when a session times out
663 */
664 static void session_timeout(struct event_context *ev, struct timed_event *te, 
665                             struct timeval t, void *private)
666 {
667         struct session_data *s = talloc_get_type(private, struct session_data);
668         talloc_free(s);
669 }
670
671 /*
672   destroy a session
673  */
674 static int session_destructor(struct session_data *s)
675 {
676         DLIST_REMOVE(s->edata->sessions, s);
677         return 0;
678 }
679
680 /*
681   setup the session for this request
682 */
683 static void http_setup_session(struct esp_state *esp)
684 {
685         const char *session_key = SWAT_SESSION_KEY;
686         char *p;
687         const char *cookie = esp->web->input.cookie;
688         const char *key = NULL;
689         struct esp_data *edata = talloc_get_type(esp->web->task->private, struct esp_data);
690         struct session_data *s;
691         BOOL generated_key = False;
692
693         /* look for our session key */
694         if (cookie && (p = strstr(cookie, session_key)) && 
695             p[strlen(session_key)] == '=') {
696                 p += strlen(session_key)+1;
697                 key = talloc_strndup(esp, p, strcspn(p, ";"));
698         }
699
700         if (key == NULL && esp->web->input.session_key) {
701                 key = esp->web->input.session_key;
702         } else if (key == NULL) {
703                 key = generate_random_str_list(esp, 16, "0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ");
704                 generated_key = True;
705         }
706
707         /* try to find this session in the existing session list */
708         for (s=edata->sessions;s;s=s->next) {
709                 if (strcmp(key, s->id) == 0) {
710                         break;
711                 }
712         }
713
714         if (s == NULL) {
715                 /* create a new session */
716                 s = talloc_zero(edata, struct session_data);
717                 s->id = talloc_steal(s, key);
718                 s->data = NULL;
719                 s->te = NULL;
720                 s->edata = edata;
721                 s->lifetime = lp_parm_int(-1, "web", "sessiontimeout", 900);
722                 DLIST_ADD(edata->sessions, s);
723                 talloc_set_destructor(s, session_destructor);
724                 if (!generated_key) {
725                         mprSetPropertyValue(&esp->variables[ESP_REQUEST_OBJ], 
726                                             "SESSION_EXPIRED", mprCreateStringVar("True", 0));
727                 }
728         }
729
730         http_setCookie(esp->web, session_key, key, s->lifetime, "/", 0);
731
732         if (s->data) {
733                 mprCopyVar(&esp->variables[ESP_SESSION_OBJ], s->data, MPR_DEEP_COPY);
734         }
735
736         esp->web->session = s;
737 }
738
739
740 /* callbacks for esp processing */
741 static const struct Esp esp_control = {
742         .maxScriptSize   = 60000,
743         .writeBlock      = http_writeBlock,
744         .setHeader       = http_setHeader,
745         .redirect        = http_redirect,
746         .setResponseCode = http_setResponseCode,
747         .readFile        = http_readFile,
748         .mapToStorage    = http_mapToStorage,
749         .setCookie       = http_setCookie,
750         .createSession   = http_createSession,
751         .destroySession  = http_destroySession,
752         .getSessionId    = http_getSessionId
753 };
754
755 /*
756   process a complete http request
757 */
758 void http_process_input(struct websrv_context *web)
759 {
760         NTSTATUS status;
761         struct esp_state *esp = NULL;
762         struct esp_data *edata = talloc_get_type(web->task->private, struct esp_data);
763         struct smbcalls_context *smbcalls_ctx;
764         char *p;
765         void *save_mpr_ctx = mprMemCtx();
766         void *ejs_save = ejs_save_state();
767         int i;
768         const char *file_type = NULL;
769         enum page_type {
770                 page_type_simple,
771                 page_type_esp,
772                 page_type_jsonrpc
773         };
774         enum page_type page_type;
775         const struct {
776                 const char *extension;
777                 const char *mime_type;
778                 enum page_type page_type;
779         } mime_types[] = {
780                 {"gif",  "image/gif"},
781                 {"png",  "image/png"},
782                 {"jpg",  "image/jpeg"},
783                 {"txt",  "text/plain"},
784                 {"ico",  "image/x-icon"},
785                 {"css",  "text/css"},
786                 {"esp",  "text/html", True}
787         };
788
789         /*
790          * give the smbcalls a chance to find the event context
791          * and messaging context 
792          */
793         smbcalls_ctx = talloc(web, struct smbcalls_context);
794         if (smbcalls_ctx == NULL) goto internal_error;
795         smbcalls_ctx->event_ctx = web->conn->event.ctx;
796         smbcalls_ctx->msg_ctx = web->conn->msg_ctx;
797
798         esp = talloc_zero(smbcalls_ctx, struct esp_state);
799         if (esp == NULL) goto internal_error;
800
801         esp->web = web;
802
803         mprSetCtx(esp);
804
805         if (espOpen(&esp_control) != 0) goto internal_error;
806
807         for (i=0;i<ARRAY_SIZE(esp->variables);i++) {
808                 esp->variables[i] = mprCreateUndefinedVar();
809         }
810         esp->variables[ESP_HEADERS_OBJ]     = mprCreateObjVar("headers", ESP_HASH_SIZE);
811         esp->variables[ESP_FORM_OBJ]        = mprCreateObjVar("form", ESP_HASH_SIZE);
812         esp->variables[ESP_APPLICATION_OBJ] = mprCreateObjVar("application", ESP_HASH_SIZE);
813         esp->variables[ESP_COOKIES_OBJ]     = mprCreateObjVar("cookies", ESP_HASH_SIZE);
814         esp->variables[ESP_FILES_OBJ]       = mprCreateObjVar("files", ESP_HASH_SIZE);
815         esp->variables[ESP_REQUEST_OBJ]     = mprCreateObjVar("request", ESP_HASH_SIZE);
816         esp->variables[ESP_SERVER_OBJ]      = mprCreateObjVar("server", ESP_HASH_SIZE);
817         esp->variables[ESP_SESSION_OBJ]     = mprCreateObjVar("session", ESP_HASH_SIZE);
818
819         if (edata->application_data) {
820                 mprCopyVar(&esp->variables[ESP_APPLICATION_OBJ], 
821                            edata->application_data, MPR_DEEP_COPY);
822         }
823
824         smb_setup_ejs_functions(web_server_ejs_exception);
825
826         if (web->input.url == NULL) {
827                 http_error(web, 400, "You must specify a GET or POST request");
828                 mprSetCtx(save_mpr_ctx);
829                 ejs_restore_state(ejs_save);
830                 return;
831         }
832         
833         /* parse any form or get variables */
834         if (web->input.post_request) {
835                 status = http_parse_post(esp);
836                 if (!NT_STATUS_IS_OK(status)) {
837                         http_error(web, 400, "Malformed POST data");
838                         mprSetCtx(save_mpr_ctx);
839                         ejs_restore_state(ejs_save);
840                         return;
841                 }
842         } 
843         if (strchr(web->input.url, '?')) {
844                 status = http_parse_get(esp);
845                 if (!NT_STATUS_IS_OK(status)) {
846                         http_error(web, 400, "Malformed GET data");
847                         mprSetCtx(save_mpr_ctx);
848                         ejs_restore_state(ejs_save);
849                         return;
850                 }
851         }
852
853         http_setup_session(esp);
854
855         esp->req = espCreateRequest(web, web->input.url, esp->variables);
856         if (esp->req == NULL) goto internal_error;
857
858         /*
859          * Work out the mime type.  First, we see if the request is a JSON-RPC
860          * service request.  If not, we look at the extension.
861          */
862         if (strcmp(web->input.url, JSONRPC_REQUEST) == 0) {
863             page_type = page_type_jsonrpc;
864             file_type = "text/json";
865             
866         } else {
867             p = strrchr(web->input.url, '.');
868             if (p == NULL) {
869                     page_type = page_type_esp;
870             }
871             for (i=0;p && i<ARRAY_SIZE(mime_types);i++) {
872                 if (strcmp(mime_types[i].extension, p+1) == 0) {
873                     file_type = mime_types[i].mime_type;
874                     page_type = mime_types[i].page_type;
875                 }
876             }
877             if (file_type == NULL) {
878                 file_type = "text/html";
879             }
880         }
881
882         /* setup basic headers */
883         http_setResponseCode(web, 200);
884         http_setHeader(web, talloc_asprintf(esp, "Date: %s", 
885                                             http_timestring(esp, time(NULL))), 0);
886         http_setHeader(web, "Server: Samba", 0);
887         http_setHeader(web, "Connection: close", 0);
888         http_setHeader(web, talloc_asprintf(esp, "Content-Type: %s", file_type), 0);
889
890         http_setup_arrays(esp);
891
892         /*
893          * Do pre-authentication.  If pre-authentication succeeds, do
894          * page-type-specific processing.
895          */
896         switch(page_type)
897         {
898         case page_type_simple:
899                 if (http_preauth(esp)) {
900                         http_simple_request(web);
901                 }
902                 break;
903
904         case page_type_esp:
905                 if (http_preauth(esp)) {
906                         esp_request(esp, web->input.url);
907                 }
908                 break;
909
910         case page_type_jsonrpc:
911 #if 0 /* djl -- not yet */
912                 if (! jsonrpc_request(esp)) {
913                         http_error(web, 500, "Out of memory");
914                 }
915 #endif
916                 break;
917         }
918
919         if (web->conn == NULL) {
920                 /* the connection has been terminated above us, probably
921                    via a timeout */
922                 goto internal_error;
923         }
924
925         if (!web->output.output_pending) {
926                 http_output_headers(web);
927                 EVENT_FD_WRITEABLE(web->conn->event.fde);
928                 web->output.output_pending = True;
929         }
930
931         /* copy any application data to long term storage in edata */
932         talloc_free(edata->application_data);
933         edata->application_data = talloc_zero(edata, struct MprVar);
934         mprSetCtx(edata->application_data);
935         mprCopyVar(edata->application_data, &esp->variables[ESP_APPLICATION_OBJ], 
936                    MPR_DEEP_COPY);
937         mprSetCtx(esp);
938
939         /* copy any session data */
940         if (web->session) {
941                 talloc_free(web->session->data);
942                 web->session->data = talloc_zero(web->session, struct MprVar);
943                 if (esp->variables[ESP_SESSION_OBJ].properties == NULL ||
944                     esp->variables[ESP_SESSION_OBJ].properties[0].numItems == 0) {
945                         talloc_free(web->session);
946                         web->session = NULL;
947                 } else {
948                         mprSetCtx(web->session->data);
949                         mprCopyVar(web->session->data, &esp->variables[ESP_SESSION_OBJ], 
950                                    MPR_DEEP_COPY);
951                         /* setup the timeout for the session data */
952                         mprSetCtx(esp);
953                         talloc_free(web->session->te);
954                         web->session->te = event_add_timed(web->conn->event.ctx, web->session, 
955                                                            timeval_current_ofs(web->session->lifetime, 0), 
956                                                            session_timeout, web->session);
957                 }
958         }
959
960         talloc_free(esp);
961         mprSetCtx(save_mpr_ctx);
962         ejs_restore_state(ejs_save);
963         return;
964         
965 internal_error:
966         mprSetCtx(esp);
967         talloc_free(esp);
968         if (web->conn != NULL) {
969                 http_error(web, 500, "Internal server error");
970         }
971         mprSetCtx(save_mpr_ctx);
972         ejs_restore_state(ejs_save);
973 }
974
975
976 /*
977   parse one line of header input
978 */
979 NTSTATUS http_parse_header(struct websrv_context *web, const char *line)
980 {
981         if (line[0] == 0) {
982                 web->input.end_of_headers = True;
983         } else if (strncasecmp(line,"GET ", 4)==0) {
984                 web->input.url = talloc_strndup(web, &line[4], strcspn(&line[4], " \t"));
985         } else if (strncasecmp(line,"POST ", 5)==0) {
986                 web->input.post_request = True;
987                 web->input.url = talloc_strndup(web, &line[5], strcspn(&line[5], " \t"));
988         } else if (strchr(line, ':') == NULL) {
989                 http_error(web, 400, "This server only accepts GET and POST requests");
990                 return NT_STATUS_INVALID_PARAMETER;
991         } else if (strncasecmp(line,"Content-Length: ", 16)==0) {
992                 web->input.content_length = strtoul(&line[16], NULL, 10);
993         } else {
994 #define PULL_HEADER(v, s) do { \
995         if (strncmp(line, s, strlen(s)) == 0) { \
996                 web->input.v = talloc_strdup(web, &line[strlen(s)]); \
997                 return NT_STATUS_OK; \
998         } \
999 } while (0)
1000                 PULL_HEADER(content_type, "Content-Type: ");
1001                 PULL_HEADER(user_agent, "User-Agent: ");
1002                 PULL_HEADER(referer, "Referer: ");
1003                 PULL_HEADER(host, "Host: ");
1004                 PULL_HEADER(accept_encoding, "Accept-Encoding: ");
1005                 PULL_HEADER(accept_language, "Accept-Language: ");
1006                 PULL_HEADER(accept_charset, "Accept-Charset: ");
1007                 PULL_HEADER(cookie, "Cookie: ");
1008         }
1009
1010         /* ignore all other headers for now */
1011         return NT_STATUS_OK;
1012 }
1013
1014
1015 /*
1016   setup the esp processor - called at task initialisation
1017 */
1018 NTSTATUS http_setup_esp(struct task_server *task)
1019 {
1020         struct esp_data *edata;
1021
1022         edata = talloc_zero(task, struct esp_data);
1023         NT_STATUS_HAVE_NO_MEMORY(edata);
1024
1025         task->private = edata;
1026
1027         edata->tls_params = tls_initialise(edata);
1028         NT_STATUS_HAVE_NO_MEMORY(edata->tls_params);
1029
1030         return NT_STATUS_OK;
1031 }