Пісочниця

Пісочниця забезпечує рівень безпеки, який дає вам контроль над тим, які теги, функції PHP, методи тощо можна використовувати в шаблонах. Завдяки режиму пісочниці ви можете безпечно співпрацювати з клієнтом або зовнішнім розробником над створенням шаблону, не турбуючись про компрометацію програми або небажані операції.

Як це працює? Ми просто визначаємо, що ми хочемо дозволити в шаблоні. На початку все заборонено, і ми поступово надаємо дозволи. Наступний код дозволяє шаблону використовувати теги {block}, {if}, {else} і {=} (останній – це тег для друку змінної або виразу) і всі фільтри:

$policy = new Latte\Sandbox\SecurityPolicy;
$policy->allowTags(['block', 'if', 'else', '=']);
$policy->allowFilters($policy::All);

$latte->setPolicy($policy);

Ми також можемо дозволити доступ до глобальних функцій, методів або властивостей об'єктів:

$policy->allowFunctions(['trim', 'strlen']);
$policy->allowMethods(Nette\Security\User::class, ['isLoggedIn', 'isAllowed']);
$policy->allowProperties(Nette\Database\Row::class, $policy::All);

Хіба це не дивно? Ви можете контролювати все на дуже низькому рівні. Якщо шаблон намагається викликати несанкціоновану функцію або отримати доступ до несанкціонованого методу чи властивості, він викидає виняток Latte\SecurityViolationException.

Створення політик з нуля, коли все заборонено, може бути незручним, тому ви можете почати з безпечного фундаменту:

$policy = Latte\Sandbox\SecurityPolicy::createSafePolicy();

Це означає, що всі стандартні теги дозволені, крім contentType, debugbreak, dump, extends, import, include, layout, php, sandbox, snippet, snippetArea, templatePrint, varPrint, widget. Також дозволені всі стандартні фільтри, окрім datastream, noescape і nocheck. Нарешті, доступ до методів і властивостей об'єкта $iterator також дозволено.

Ці правила застосовуються до шаблону, який ми вставляємо з новим {sandbox} тегом. Це щось на кшталт {include}, але в ньому ввімкнено режим пісочниці, а також не передаються зовнішні змінні:

{sandbox 'untrusted.latte'}

Таким чином, макет і окремі сторінки можуть використовувати всі теги і змінні, як і раніше, обмеження накладатимуться тільки на шаблон untrusted.latte.

Деякі порушення, як-от використання забороненого тега або фільтра, виявляються під час компіляції. Інші, такі як виклик недозволених методів об'єкта, – під час виконання. Шаблон також може містити будь-які інші помилки. Щоб запобігти викиду винятку з шаблону, що знаходиться в пісочниці, який порушує весь рендеринг, ви можете визначити власний обробник винятків, який, наприклад, просто реєструє його.

Якщо ми хочемо ввімкнути режим пісочниці безпосередньо для всіх шаблонів, то це просто:

$latte->setSandboxMode();

Щоб користувач не вставляв на сторінку синтаксично правильний, але заборонений PHP-код, який може спричинити помилку компіляції PHP, ми рекомендуємо перевіряти шаблони за допомогою лінтера PHP. Ви можете активувати цю функціональність за допомогою методу Engine::enablePhpLint(). Оскільки для перевірки потрібно викликати бінарний файл PHP, передайте шлях до нього як параметр:

$latte = new Latte\Engine;
$latte->enablePhpLinter('/path/to/php');