Sandbox

Sandbox poskytuje bezpečnostní vrstvu, která vám dává kontrolu nad tím, jaké značky, PHP funkce, metody apod. mohou být v šablonách použity. Díky sandbox režimu můžete bezpečně spolupracovat s klientem nebo externím kodérem na tvorbě šablon, aniž byste se museli obávat, že dojde k narušení aplikace nebo nežádoucím operacím.

Jak to funguje? Jednoduše nadefinujeme, co všechno šabloně dovolíme. Přičemž v základu je všechno zakázané a my postupně povolujeme. Následujícím kódem umožníme autorovi šablony používat značky {block}, {if}, {else} a {=}, což je značka pro vypsání proměnné nebo výrazu a všechny filtry:

$policy = new Latte\Sandbox\SecurityPolicy;
$policy->allowTags(['block', 'if', 'else', '=']);
$policy->allowFilters($policy::All);

$latte->setPolicy($policy);

Dále můžeme povolit přístup k jednotlivým globálním funkcím, metodám nebo properties objektů:

$policy->allowFunctions(['trim', 'strlen']);
$policy->allowMethods(Nette\Security\User::class, ['isLoggedIn', 'isAllowed']);
$policy->allowProperties(Nette\Database\Row::class, $policy::All);

Oprávnění udělená přes allowMethods() a allowProperties() platí i pro instance potomků dané třídy (kontrola používá is_a()).

Není to úžasné? Můžete na velmi nízké úrovni kontrolovat úplně všechno. Pokud se šablona pokusí zavolat nepovolenou funkci nebo přistoupit k nepovolené metodě nebo property, skončí to výjimkou Latte\SecurityViolationException.

Bezpečná výchozí policy

Tvořit policy od bodu nula, kdy je zakázáno úplně vše, nemusí být pohodlné, proto můžete začít od bezpečného základu:

$policy = Latte\Sandbox\SecurityPolicy::createSafePolicy();

Bezpečný základ znamená, že jsou povoleny všechny standardní tagy kromě contentType, debugbreak, dump, extends, import, include, layout, php, sandbox, snippet, snippetArea, templatePrint, varPrint, embed. Jsou povoleny standardní filtry kromě datastream, noescape a nocheck. A nakonec je povolený přístup k metodám a properties objektu $iterator.

Aktivace sandboxu

Pravidla se aplikují pro šablonu, kterou vložíme značkou {sandbox}. Což je jakási obdoba {include}: zapíná sandbox režim a stejně jako {include} automaticky nepředává okolní proměnné. Předat je ale můžete explicitně, například {sandbox 'untrusted.latte', a: 1, b: 2}:

{sandbox 'untrusted.latte'}

Tedy layout a jednotlivé stránky mohou nerušeně využívat všechny tagy a proměnné, pouze na šablonu untrusted.latte budou uplatněny restrikce.

Některé prohřešky, jako použití zakázaného tagu nebo filtru, se odhalí v době kompilace. Jiné, jako třeba volání nepovolených metod objektu, až za běhu. Šablona také může obsahovat jakékoliv jiné chyby. Aby vám ze sandboxované šablony nemohla vyskočit výjimka, která naruší celé vykreslování, lze definovat vlastní obslužný handler pro výjimky, který ji třeba zaloguje.

Pokud bychom chtěli sandbox režim zapnout přímo pro všechny šablony, jde to snadno:

$latte->setSandboxMode();

Kontrola vygenerovaného kódu

Abyste měli jistotu, že uživatel do stránky nevloží PHP kód, který je sice syntakticky správný, ale zakázaný a způsobí PHP Compile Error, doporučujeme nechávat šablony kontrolovat PHP linterem. Tuto funkčnost zapnete metodou Engine::enablePhpLinter(). Jelikož ke kontrole potřebuje volat binárku PHP, cestu k ní předejte jako parametr:

$latte = new Latte\Engine;
$latte->enablePhpLinter('/path/to/php');

Co sandbox nehlídá

Nad rámec značek, funkcí, metod a properties, které povolíte, sandbox bez ohledu na policy vždy zakazuje několik konstrukcí: operátor new, proměnnou $this, variable variables ($$var) a filtr |noescape.

Sandbox spolehlivě hlídá explicitní operace: volání funkcí, metod a filtrů i přístup k properties objektů. Na jednu věc ale jeho kontrola nedosáhne a je dobré o ní vědět.

Když objekt vypíšete nebo ho jakkoliv použijete v řetězcovém kontextu, PHP automaticky zavolá jeho magickou metodu __toString(). Tento implicitní převod policy nekontroluje, takže proběhne, i kdyby metoda __toString() nebyla mezi povolenými. Autor šablony tak může spustit __toString() libovolného objektu, na který v šabloně dosáhne. To je rozdíl oproti explicitnímu zápisu {$obj->__toString()}, který sandbox zablokuje:

{$obj}              {* zavolá __toString() *}
{$obj . '!'}        {* totéž (konkatenace) *}
{="cena: $obj"}     {* totéž (interpolace v řetězci) *}
{$obj|upper}        {* totéž (přes filtr) *}

Smyslem metody __toString() je vyrobit textovou reprezentaci objektu, takže její dosažitelnost obvykle nevadí. Problém nastává jen tehdy, když má __toString() vedlejší efekty (třeba zápis nebo dotaz do databáze) nebo když vrací citlivá data.

Tyhle nejpřímější případy by Latte zachytit dokázalo, ale spolehlivě a ve všech ne. Převod objektu na řetězec totiž není volání metody, ale vestavěná operace jazyka, ke které dochází na mnoha místech výrazu. Někde (třeba při porovnání objektu se stringem nebo uvnitř volané funkce či filtru) by ji nešlo spolehlivě zachytit, aniž by se přitom blokovalo i legitimní použití. Proto je s dosažitelností __toString() potřeba počítat.

Nevystavujte sandboxu objekty, jejichž __toString() má vedlejší efekty nebo zpřístupňuje citlivé údaje. A to nejen ty, které šabloně předáte přímo, ale i ty, které autor získá jako návratovou hodnotu povolené funkce, metody nebo property.

verze: 3.x