Strip away class attributes from sanitized outputs

There's a lot of shenanigans that are possible when you can apply
arbitrary classes to the rendered output.

Rework configuration to use Sanitize::Config.merge

This is the recommended approach, and works better when dealing with deeper attributes

Add tests for richtext table classes

Merge remote-tracking branch 'upstream/pull/3147'

Merge remote-tracking branch 'upstream/pull/3148'

Bundle update for mimemagic yankage

Move sessions-related tests out of UsersControllerTest

Refactor login/logout into sessions controller

Certain controller methods are shared with oauth-based logins, and these have been
moved to a concern.

Fix new rubocop warnings

Update bundle

Localisation updates from https://translatewiki.net.

Merge remote-tracking branch 'upstream/pull/3142'

Merge remote-tracking branch 'upstream/pull/3144'

Bump qs from 6.10.0 to 6.10.1

Bumps [qs](https://github.com/ljharb/qs) from 6.10.0 to 6.10.1.
- [Release notes](https://github.com/ljharb/qs/releases)
- [Changelog](https://github.com/ljharb/qs/blob/master/CHANGELOG.md)
- [Commits](https://github.com/ljharb/qs/compare/v6.10.0...v6.10.1)

Signed-off-by: dependabot[bot] <support@github.com>

Added place=archipelago to en.yml

Added natural=atoll to en.yml

Merge remote-tracking branch 'upstream/pull/3141'

Handle errors checking for gravatars

Bump qs from 6.9.6 to 6.10.0

Bumps [qs](https://github.com/ljharb/qs) from 6.9.6 to 6.10.0.
- [Release notes](https://github.com/ljharb/qs/releases)
- [Changelog](https://github.com/ljharb/qs/blob/master/CHANGELOG.md)
- [Commits](https://github.com/ljharb/qs/compare/v6.9.6...v6.10.0)

Signed-off-by: dependabot[bot] <support@github.com>

Localisation updates from https://translatewiki.net.

Merge remote-tracking branch 'upstream/pull/3140'

Use list-inline to achieve spacing between elements on a line

This is a better solution than spans and margins. Additionally, rework
to use mb-* instead of my-* (bootstrap advises against using margin-top)
and get rid of <br>s by using paragraphs instead.

Merge remote-tracking branch 'upstream/pull/3124'

Merge remote-tracking branch 'upstream/pull/3138'

Merge remote-tracking branch 'upstream/pull/3139'

Refactor traces list display

Ideas taken from #3036

Use .add method for adding errors

This avoids a deprecation warning on rails 6.1

Merge branch 'pull/3112'

Remove unused translations

Merge remote-tracking branch 'upstream/pull/3137'

Update code example to follow rubocop recommendations

Just for consistency with what you would see elsewhere in the codebase

Update bundle

Merge remote-tracking branch 'upstream/pull/3133'

Merge remote-tracking branch 'upstream/pull/3132'

Reject referers that do not include an absolute path

Localisation updates from https://translatewiki.net.

Bump eslint from 7.21.0 to 7.22.0

Bumps [eslint](https://github.com/eslint/eslint) from 7.21.0 to 7.22.0.
- [Release notes](https://github.com/eslint/eslint/releases)
- [Changelog](https://github.com/eslint/eslint/blob/master/CHANGELOG.md)
- [Commits](https://github.com/eslint/eslint/compare/v7.21.0...v7.22.0)

Signed-off-by: dependabot[bot] <support@github.com>

Bump leaflet.locatecontrol from 0.72.2 to 0.73.0

Bumps [leaflet.locatecontrol](https://github.com/domoritz/leaflet-locatecontrol) from 0.72.2 to 0.73.0.
- [Release notes](https://github.com/domoritz/leaflet-locatecontrol/releases)
- [Changelog](https://github.com/domoritz/leaflet-locatecontrol/blob/gh-pages/CHANGELOG.md)
- [Commits](https://github.com/domoritz/leaflet-locatecontrol/compare/v0.72.2...v0.73.0)

Signed-off-by: dependabot[bot] <support@github.com>

Allow form submission to any location from the login page

This allows openid login to work on browsers like chrome that enforce
the form-action rule for redirect POST requests.

Fixes #3131

Merge remote-tracking branch 'upstream/pull/3130'

Remove GL and SH cantonal WMS servers from black list

The previously restrictively licensed material is now available on relatively open terms directly from swisstopo per 1. March 2021, so these entries can be removed.

Chasing parse errors

Added missing translation

Switched to hash rockets syntax per erblint feedback

Replaced H2 messages header links with Bootstrap nav links

Following suggestion from https://github.com/openstreetmap/openstreetmap-website/issues/2962#issuecomment-768985393

Localisation updates from https://translatewiki.net.

Merge remote-tracking branch 'upstream/pull/3125'

Use login_path instead of explicit controller and actions

This makes future refactoring easier.

Update bundle

Added natural=peninsula

Added natural=coastline

Localisation updates from https://translatewiki.net.

Merge remote-tracking branch 'upstream/pull/3118'

Remove incidental additions

Merge branch 'master' into iD-2.19.6

Remove swfobject from Vendorfile as it is no longer used

Merge remote-tracking branch 'upstream/pull/3121'

Merge remote-tracking branch 'upstream/pull/3120'

Localisation updates from https://translatewiki.net.

Remove CSS overrides for the login page at small screen sizes

Some of these selectors no longer apply, and the one that did just
made the behaviour worse, so they are all no longer required.

Prevent input group wrapping when sidebar is resized

Fixes #3119

Update to iD v2.19.6

Merge remote-tracking branch 'upstream/pull/3117'

Add a small margin before the changesets more button

See also #2717

Remove unnecessary margin-tops

Remove final uses of the deemphasize class

Remove the old richtext_area helper

This has been superseded by the `f.richtext_field` custom form builder.

Use a 307 Temporary Redirect to redirect to authentication

When the user wants to enable an external authenticator we need
to redirect to omniauth but that now needs to be a POST so use a
redirect that preserves the POST method.

Fixes #3114

Fix new rubocop warnings

Update bundle

Merge remote-tracking branch 'upstream/pull/3113'

Localisation updates from https://translatewiki.net.

Bump eslint from 7.20.0 to 7.21.0

Bumps [eslint](https://github.com/eslint/eslint) from 7.20.0 to 7.21.0.
- [Release notes](https://github.com/eslint/eslint/releases)
- [Changelog](https://github.com/eslint/eslint/blob/master/CHANGELOG.md)
- [Commits](https://github.com/eslint/eslint/compare/v7.20.0...v7.21.0)

Signed-off-by: dependabot[bot] <support@github.com>

Localisation updates from https://translatewiki.net.

Merge remote-tracking branch 'upstream/pull/3109'

Remove standard-form CSS rules

Convert the search forms to bootstrap

This moves the forms to a flex grid, albeit with a little twiddling
to get things working in a compact space.

Merge branch 'pull/3091'

Use the bootstrap spacer variable as the basis for spacing calcuation, and match mb-1 definition

Update bundle

Localisation updates from https://translatewiki.net.

Tighten up cookie security

Mark all cookies as Secure, and the cookies which are not
modified client side as HttpOnly.

Add btn-wrapper class

Merge remote-tracking branch 'upstream/pull/3102'

Refactor the share panel to use bootstrap forms

Use bootstrap form-check for overlay selection

Merge remote-tracking branch 'upstream/pull/3100'

Bump composite_primary_keys to 12.0.8

12.0.7 has been yanked

Merge pull request #3083 from migurski/migurski/docker-compose-cleanups

Post-merge Docker Compose cleanup issues

Fix new rubocop warnings

Update bundle

Validate avatar images

Closes #3097

Fix avatar mode update on file change

Merge remote-tracking branch 'upstream/pull/3095'

Localisation updates from https://translatewiki.net.

Bump eslint from 7.19.0 to 7.20.0

Bumps [eslint](https://github.com/eslint/eslint) from 7.19.0 to 7.20.0.
- [Release notes](https://github.com/eslint/eslint/releases)
- [Changelog](https://github.com/eslint/eslint/blob/master/CHANGELOG.md)
- [Commits](https://github.com/eslint/eslint/compare/v7.19.0...v7.20.0)

Signed-off-by: dependabot[bot] <support@github.com>

Removed ENABLE_BOOTSNAP environment variable

Added explanatory notes and comments

Added note about password and privileges for OSM DB user

Moved osm-db-functions.sql to /usr/local/share/