diff --git a/composer.json b/composer.json index af172dbb762..af4ee91298d 100644 --- a/composer.json +++ b/composer.json @@ -78,8 +78,7 @@ "bower-asset/jquery": "3.7.*@stable | 3.6.*@stable | 3.5.*@stable | 3.4.*@stable | 3.3.*@stable | 3.2.*@stable | 3.1.*@stable | 2.2.*@stable | 2.1.*@stable | 1.11.*@stable | 1.12.*@stable", "bower-asset/inputmask": "^5.0.8 ", "bower-asset/punycode": "^2.2", - "bower-asset/yii2-pjax": "~2.0.1", - "paragonie/random_compat": ">=1" + "bower-asset/yii2-pjax": "~2.0.1" }, "require-dev": { "cebe/indent": "~1.0.2", diff --git a/composer.lock b/composer.lock index b1b16dc9347..f14bc829821 100644 --- a/composer.lock +++ b/composer.lock @@ -4,7 +4,7 @@ "Read more about it at https://getcomposer.org/doc/01-basic-usage.md#installing-dependencies", "This file is @generated automatically" ], - "content-hash": "67d678d7fc90991fe6c1967c41f6264d", + "content-hash": "3faf6ba20beedc1db7758907d00f6681", "packages": [ { "name": "bower-asset/inputmask", @@ -206,56 +206,6 @@ }, "time": "2023-11-17T15:01:25+00:00" }, - { - "name": "paragonie/random_compat", - "version": "v9.99.100", - "source": { - "type": "git", - "url": "https://github.com/paragonie/random_compat.git", - "reference": "996434e5492cb4c3edcb9168db6fbb1359ef965a" - }, - "dist": { - "type": "zip", - "url": "https://api.github.com/repos/paragonie/random_compat/zipball/996434e5492cb4c3edcb9168db6fbb1359ef965a", - "reference": "996434e5492cb4c3edcb9168db6fbb1359ef965a", - "shasum": "" - }, - "require": { - "php": ">= 7" - }, - "require-dev": { - "phpunit/phpunit": "4.*|5.*", - "vimeo/psalm": "^1" - }, - "suggest": { - "ext-libsodium": "Provides a modern crypto API that can be used to generate random bytes." - }, - "type": "library", - "notification-url": "https://packagist.org/downloads/", - "license": [ - "MIT" - ], - "authors": [ - { - "name": "Paragon Initiative Enterprises", - "email": "security@paragonie.com", - "homepage": "https://paragonie.com" - } - ], - "description": "PHP 5.x polyfill for random_bytes() and random_int() from PHP 7", - "keywords": [ - "csprng", - "polyfill", - "pseudorandom", - "random" - ], - "support": { - "email": "info@paragonie.com", - "issues": "https://github.com/paragonie/random_compat/issues", - "source": "https://github.com/paragonie/random_compat" - }, - "time": "2020-10-15T08:29:30+00:00" - }, { "name": "yiisoft/yii2-composer", "version": "2.0.10", diff --git a/docs/guide-uk/runtime-sessions-cookies.md b/docs/guide-uk/runtime-sessions-cookies.md new file mode 100644 index 00000000000..7edf8e00f8b --- /dev/null +++ b/docs/guide-uk/runtime-sessions-cookies.md @@ -0,0 +1,285 @@ +Сесії та кукі +==================== + +Сесії та кукі дозволяють зберігати користувацькі дані між запитами. При використанні чистого PHP можна отримати доступ до цих даних через глобальні змінні `$_SESSION` та `$_COOKIE`, відповідно. Yii інкапсулює сесії та кукі в об'єкти, що дає можливість звертатися до них в об'єктноорієнтованому стилі та забезпечує додаткову зручність в роботі. + + +## Сесії + +За аналогією з [запитами](runtime-requests.md) та [відповідями](runtime-responses.md), до сесій можна отримати доступ через `session` [компонент додатка](structure-application-components.md), який за замовчуванням є екземпляром [[yii\web\Session]]. + + +### Відкриття та закриття сесії + +Відкрити та закрити сесію можна наступним чином: + +```php +$session = Yii::$app->session; + +// перевіряєм що сесія вже відкрита +if ($session->isActive) ... + +// відкиваєм сесію +$session->open(); + +// закриваємо сесію +$session->close(); + +// знищуємо сесію і всі пов'язані з нею дані. +$session->destroy(); +``` + +Можна викликати [[yii\web\Session::open()|open()]] і [[yii\web\Session::close()|close()]] багаторазово без виникнення помилок; всередині компонента всі методи перевіряють сесію на те, відкрита вона чи ні. + + +### Доступ до даних сесії + +Отримати доступ до збережених в сесію даних можна наступним чином: + +```php +$session = Yii::$app->session; + +// отримання змінної з сесії. Наступні способи використання еквівалентні: +$language = $session->get('language'); +$language = $session['language']; +$language = isset($_SESSION['language']) ? $_SESSION['language'] : null; + +// запис змінної в сесію. Наступні способи використання еквівалентні: +$session->set('language', 'en-US'); +$session['language'] = 'en-US'; +$_SESSION['language'] = 'en-US'; + +// видалення змінної з сесії. Наступні способи використання еквівалентні: +$session->remove('language'); +unset($session['language']); +unset($_SESSION['language']); + +// перевірка на існування змінної в сесії. Наступні способи використання еквівалентні: +if ($session->has('language')) ... +if (isset($session['language'])) ... +if (isset($_SESSION['language'])) ... + +// обхід усіх змінних у сесії. Наступні способи використання еквівалентні: +foreach ($session as $name => $value) ... +foreach ($_SESSION as $name => $value) ... +``` + +> Info: При отриманні даних з сесії через компонент `session`, сесія буде автоматично відкрита, якщо вона не була відкрита до цього. У цьому полягає відмінність від отримання даних з глобальної змінної `$_SESSION`, що вимагає обов'язкового виклику `session_start()`. + +При роботі з сесійними даними, які є масивами, компонент `session` має обмеження, що забороняє пряму модифікацію окремих елементів масиву. Наприклад, + +```php +$session = Yii::$app->session; + +// наступний код НЕ БУДЕ працювати +$session['captcha']['number'] = 5; +$session['captcha']['lifetime'] = 3600; + +// а цей буде: +$session['captcha'] = [ + 'number' => 5, + 'lifetime' => 3600, +]; + +// цей код також буде працювати: +echo $session['captcha']['lifetime']; +``` + +Для вирішення цієї проблеми можна використовувати такі обхідні прийоми: + +```php +$session = Yii::$app->session; + +// пряме використання $_SESSION (переконайтеся, що Yii::$app->session->open() був викликаний) +$_SESSION['captcha']['number'] = 5; +$_SESSION['captcha']['lifetime'] = 3600; + +// отримайте весь масив, модифікуйте і збережіть назад у сесію +$captcha = $session['captcha']; +$captcha['number'] = 5; +$captcha['lifetime'] = 3600; +$session['captcha'] = $captcha; + +// використовуйте ArrayObject замість масиву +$session['captcha'] = new \ArrayObject; +... +$session['captcha']['number'] = 5; +$session['captcha']['lifetime'] = 3600; + +// записуйте дані з ключами, які мають однаковий префікс +$session['captcha.number'] = 5; +$session['captcha.lifetime'] = 3600; +``` + +Для покращення продуктивності та читабельності коду рекомендується використовувати останній прийом. Іншими словами, замість того, щоб зберігати масив як одну змінну сесії, ми зберігаємо кожен елемент масиву як звичайну сесійну змінну зі спільним префіксом. + + +### Користувацьке сховище для сесії + +За замовчуванням клас [[yii\web\Session]] зберігає дані сесії у вигляді файлів на сервері. Однак Yii надає ряд класів, які реалізують різні способи зберігання даних сесії: + +* [[yii\web\DbSession]]: зберігає дані сесії в базі даних. +* [[yii\web\CacheSession]]: зберігання даних сесії в попередньо сконфігурованому компоненті кешу [кеш](caching-data.md#cache-components). +* [[yii\redis\Session]]: зберігання даних сесії в [redis](https://redis.io/). +* [[yii\mongodb\Session]]: зберігання сесії в [MongoDB](https://www.mongodb.com/). + +Усі ці класи підтримують однаковий набір методів API. В результаті ви можете перемикатися між різними сховищами сесій без модифікації коду додатку. + +> Note: Якщо ви хочете отримати дані з змінної `$_SESSION` при використанні користувацького сховища, ви повинні бути впевнені, що сесія вже стартувала [[yii\web\Session::open()]], оскільки обробники зберігання користувацьких сесій реєструються в цьому методі. + +Щоб дізнатися, як налаштувати і використовувати ці компоненти, зверніться до документації по API. Нижче наведено приклад конфігурації [[yii\web\DbSession]] для використання бази даних для зберігання сесії: + +```php +return [ + 'components' => [ + 'session' => [ + 'class' => 'yii\web\DbSession', + // 'db' => 'mydb', // ID компонента для взаємодії з БД. По замовчуванню 'db'. + // 'sessionTable' => 'my_session', // назва таблиці для даних сесії. По замовчуванню 'session'. + ], + ], +]; +``` + +Також необхідно створити таблицю для зберігання даних сесії: + +```sql +CREATE TABLE session +( + id CHAR(40) NOT NULL PRIMARY KEY, + expire INTEGER, + data BLOB +) +``` + +де 'BLOB' відповідає типу даних вашої DBMS. Нижче наведені приклади відповідності типів BLOB у найбільш популярних DBMS: + +- MySQL: LONGBLOB +- PostgreSQL: BYTEA +- MSSQL: BLOB + +> Note: В залежності від налаштувань параметра `session.hash_function` у вашому php.ini, може знадобитися змінити довжину поля `id`. Наприклад, якщо `session.hash_function=sha256`, потрібно встановити довжину поля на 64 замість 40. + +### Flash-повідомлення + +Flash-повідомлення - це особливий тип даних у сесії, які встановлюються один раз під час запиту і доступні лише протягом наступного запиту, після чого вони автоматично видаляються. Такий спосіб зберігання інформації в сесії найчастіше використовується для реалізації повідомлень, які будуть відображені кінцевому користувачу один раз, наприклад, підтвердження про успішну відправку форми. + +Встановити та отримати flash-повідомлення можна через компонент програми `session`. Наприклад: + +```php +$session = Yii::$app->session; + +// Запит #1 +// встановлення flash-повідомлення з назвою "postDeleted" +$session->setFlash('postDeleted', 'Ви успішно видалили пост.'); + +// Запит #2 +// відображення flash-повідомлення "postDeleted" +echo $session->getFlash('postDeleted'); + +// Запит #3 +// змінна $result буде мати значення false, оскільки flash-повідомлення було автоматично видалено +$result = $session->hasFlash('postDeleted'); +``` + +Оскільки flash-повідомлення зберігаються в сесії як звичайні дані, в них можна записувати довільну інформацію, і вона буде доступна лише в наступному запиті. + +При виклику [[yii\web\Session::setFlash()]] відбувається перезаписування flash-повідомлень з таким же назвою. Для того, щоб додати нові дані до вже існуючого flash-повідомлення, необхідно викликати [[yii\web\Session::addFlash()]]. +Наприклад: + +```php +$session = Yii::$app->session; + +// Запит #1 +// додати нове flash-повідомлення з назвою "alerts" +$session->addFlash('alerts', 'Ви успішно видалили пост.'); +$session->addFlash('alerts', 'Ви успішно додали нового друга.'); +$session->addFlash('alerts', 'Дякуємо.'); + +// Запит #2 +// Змінна $alerts тепер містить масив flash-повідомлень з назвою "alerts" +$alerts = $session->getFlash('alerts'); +``` + +> Note: Намагайтеся не використовувати [[yii\web\Session::setFlash()]] спільно з [[yii\web\Session::addFlash()]] для flash-повідомлень з однаковою назвою. Це пов'язано з тим, що останній метод автоматично перетворює збережені дані в масив, щоб мати можливість зберігати та додавати нові дані в flash-повідомлення з тією ж назвою. В результаті, при виклику [[yii\web\Session::getFlash()]] можна виявити, що повертається масив, тоді як очікувалася строка. + +## Кукі + +Yii представляє кожну з cookie як об'єкт [[yii\web\Cookie]]. Обидва компоненти програми [[yii\web\Request]] і [[yii\web\Response]] +підтримують колекції кукі через своє властивість cookies. У першому випадку колекція кукі є їх представленням з HTTP-запиту, у другому — представляє кукі, які будуть відправлені користувачу. + +### Читання кукі + +Отримати кукі з поточного запиту можна наступним чином: + +```php +// отримання колекції кукі (yii\web\CookieCollection) з компонента "request" +$cookies = Yii::$app->request->cookies; + +// отримання кукі з назвою "language". Якщо кукі не існує, "en" буде повернуто як значення за замовчуванням. +$language = $cookies->getValue('language', 'en'); + +// альтернативний спосіб отримання кукі "language" +if (($cookie = $cookies->get('language')) !== null) { + $language = $cookie->value; +} + +// тепер змінну $cookies можна використовувати як масив +if (isset($cookies['language'])) { + $language = $cookies['language']->value; +} + +// перевірка на існування кукі "language" +if ($cookies->has('language')) ... +if (isset($cookies['language'])) ... +``` + + +### Відправка кукі + +Відправити кукі кінцевому користувачу можна наступним чином: + +```php +// отримання колекції (yii\web\CookieCollection) з компонента "response" +$cookies = Yii::$app->response->cookies; + +// додавання нової кукі в HTTP-відповідь +$cookies->add(new \yii\web\Cookie([ + 'name' => 'language', + 'value' => 'zh-CN', +])); + +// видалення кукі... +$cookies->remove('language'); +// ...що еквівалентно наступному: +unset($cookies['language']); +``` + +Крім властивостей [[yii\web\Cookie::name|name]] та [[yii\web\Cookie::value|value]], клас [[yii\web\Cookie]] також надає ряд властивостей для отримання інформації про куки: [[yii\web\Cookie::domain|domain]], [[yii\web\Cookie::expire|expire]]. Ці властивості можна сконфігурувати, а потім додати кукі в колекцію для HTTP-відповіді. + +> Note: Для більшої безпеки значення властивості [[yii\web\Cookie::httpOnly]] за замовчуванням встановлено в `true`. Це зменшує ризики доступу до захищеної кукі на клієнтській стороні (якщо браузер підтримує таку можливість). Ви можете звернутися до [httpOnly wiki](https://owasp.org/www-community/HttpOnly) для додаткової інформації. + +### Валідація кукі + +Під час запису та читання куків через компоненти `request` та `response`, як буде показано в двох наступних підрозділах, фреймворк надає автоматичну валідацію, яка забезпечує захист кукі від модифікації на стороні клієнта. Це досягається завдяки підписанню кожної кукі секретним ключем, що дозволяє додатку розпізнавати кукі, які були модифіковані на клієнтській стороні. У такому випадку кукі НЕ БУДЕ доступна через властивість [[yii\web\Request::cookies|cookie collection]] компонента `request`. + +> Note: Валідація кукі захищає тільки від їх модифікації. Якщо валідація не була пройдена, отримати доступ до кукі все ще можна через глобальну змінну `$_COOKIE`. Це пов'язано з тим, що додаткові пакети та бібліотеки можуть маніпулювати кукі без виклику валідації, яку забезпечує Yii. + + +За замовчуванням валідація кукі увімкнена. Її можна вимкнути, встановивши властивість [[yii\web\Request::enableCookieValidation]] в `false`, однак ми настійливо не рекомендуємо цього робити. + +> Note: Кукі, які безпосередньо читаються/пишуться через `$_COOKIE` та `setcookie()`, НЕ БУДУТЬ валідовуватися. + +При використанні валідації кукі необхідно вказати значення властивості [[yii\web\Request::cookieValidationKey]], яке буде використано для генерації згаданого вище секретного ключа. Це можна зробити, налаштувавши компонент `request` у конфігурації додатка: + +```php +return [ + 'components' => [ + 'request' => [ + 'cookieValidationKey' => 'fill in a secret key here', + ], + ], +]; +``` + +> Note: Властивість [[yii\web\Request::cookieValidationKey|cookieValidationKey]] є секретним значенням і повинно бути відомо лише тим, кому ви довіряєте. Не розміщуйте цю інформацію в системі контролю версій. diff --git a/framework/CHANGELOG.md b/framework/CHANGELOG.md index 1935d097811..1d82419f857 100644 --- a/framework/CHANGELOG.md +++ b/framework/CHANGELOG.md @@ -9,7 +9,17 @@ Yii Framework 2 Change Log - Enh #20247: Support for variadic console controller action methods (brandonkelly) - Bug #20256: Add support for dropping views in MSSQL server when running migrate/fresh (ambrozt) - Enh #20248: Add support for attaching behaviors in configurations with Closure (timkelty) +- Enh #20267: Fixed called class check in `Widget::end()` when widget configured using callable (rob006, jrajamaki) - Enh #20268: Minor optimisation in `\yii\helpers\BaseArrayHelper::map` (chriscpty) +- Enh #20273: Remove unnecessary `paragonie/random_compat` dependency (timwolla) +- Chg #20276: Removed autogenerated migration phpdoc (userator) +- Bug #20282: Fix compatibility with PHP 8.4: deprecated constant E_STRICT (Izumi-kun) +- Bug #20284: Revert punycode to 1.4.x which supports pre ES6 format (mtangoo) +- New #20279: Add to the `\yii\web\Request` CSRF validation by custom HTTP header (olegbaturin) +- Enh #20279: Add to the `\yii\web\Request` `csrfHeader` property to configure a custom HTTP header for CSRF validation (olegbaturin) +- Enh #20279: Add to the `\yii\web\Request` `csrfTokenSafeMethods` property to configure a custom safe HTTP methods list (olegbaturin) +- Bug #20140: Fix compatibility with PHP 8.4: calling `session_set_save_handler()` (Izumi-kun) +- Enh #20277: Eager loading in `\yii\db\ActiveRecord::refresh` (chriscpty) 2.0.51 July 18, 2024 -------------------- diff --git a/framework/UPGRADE.md b/framework/UPGRADE.md index f75f025301c..72aa39821d6 100644 --- a/framework/UPGRADE.md +++ b/framework/UPGRADE.md @@ -51,6 +51,13 @@ if you want to upgrade from version A to version C and there is version B between A and C, you need to follow the instructions for both A and B. +Upgrade from Yii 2.0.51 +----------------------- + +* The function signature for `yii\web\Session::readSession()` and `yii\web\Session::gcSession()` have been changed. + They now have the same return types as `\SessionHandlerInterface::read()` and `\SessionHandlerInterface::gc()` respectively. + In case those methods have overwritten you will need to update your child classes accordingly. + Upgrade from Yii 2.0.50 ----------------------- diff --git a/framework/base/ErrorException.php b/framework/base/ErrorException.php index f9c388a5453..a5af2a8027a 100644 --- a/framework/base/ErrorException.php +++ b/framework/base/ErrorException.php @@ -124,15 +124,14 @@ public function getName() E_NOTICE => 'PHP Notice', E_PARSE => 'PHP Parse Error', E_RECOVERABLE_ERROR => 'PHP Recoverable Error', - E_STRICT => 'PHP Strict Warning', E_USER_DEPRECATED => 'PHP User Deprecated Warning', E_USER_ERROR => 'PHP User Error', E_USER_NOTICE => 'PHP User Notice', E_USER_WARNING => 'PHP User Warning', E_WARNING => 'PHP Warning', self::E_HHVM_FATAL_ERROR => 'HHVM Fatal Error', - ]; + ] + (PHP_VERSION_ID < 80400 ? [E_STRICT => 'PHP Strict Warning'] : []); - return isset($names[$this->getCode()]) ? $names[$this->getCode()] : 'Error'; + return $names[$this->getCode()] ?? 'Error'; } } diff --git a/framework/base/Widget.php b/framework/base/Widget.php index 450caac9c9b..b1340188449 100644 --- a/framework/base/Widget.php +++ b/framework/base/Widget.php @@ -60,6 +60,10 @@ class Widget extends Component implements ViewContextInterface */ public static $stack = []; + /** + * @var string[] used widget classes that have been resolved to their actual class name. + */ + private static $_resolvedClasses = []; /** * Initializes the object. @@ -88,6 +92,7 @@ public static function begin($config = []) /* @var $widget Widget */ $widget = Yii::createObject($config); self::$stack[] = $widget; + self::$_resolvedClasses[get_called_class()] = get_class($widget); return $widget; } @@ -104,10 +109,7 @@ public static function end() if (!empty(self::$stack)) { $widget = array_pop(self::$stack); - $calledClass = get_called_class(); - if (Yii::$container->has($calledClass) && isset(Yii::$container->getDefinitions()[$calledClass]['class'])) { - $calledClass = Yii::$container->getDefinitions()[$calledClass]['class']; - } + $calledClass = self::$_resolvedClasses[get_called_class()] ?? get_called_class(); if (get_class($widget) === $calledClass) { /* @var $widget Widget */ diff --git a/framework/composer.json b/framework/composer.json index d24703fb442..72e5079cdff 100644 --- a/framework/composer.json +++ b/framework/composer.json @@ -72,9 +72,8 @@ "cebe/markdown": "~1.0.0 | ~1.1.0 | ~1.2.0", "bower-asset/jquery": "3.7.*@stable | 3.6.*@stable | 3.5.*@stable | 3.4.*@stable | 3.3.*@stable | 3.2.*@stable | 3.1.*@stable | 2.2.*@stable | 2.1.*@stable | 1.11.*@stable | 1.12.*@stable", "bower-asset/inputmask": "^5.0.8 ", - "bower-asset/punycode": "^2.2", - "bower-asset/yii2-pjax": "~2.0.1", - "paragonie/random_compat": ">=1" + "bower-asset/punycode": "^1.4", + "bower-asset/yii2-pjax": "~2.0.1" }, "autoload": { "psr-4": {"yii\\": ""} diff --git a/framework/db/BaseActiveRecord.php b/framework/db/BaseActiveRecord.php index 42480ef176b..fc941628840 100644 --- a/framework/db/BaseActiveRecord.php +++ b/framework/db/BaseActiveRecord.php @@ -1783,7 +1783,7 @@ private function isValueDifferent($newValue, $oldValue) { if (is_array($newValue) && is_array($oldValue)) { // Only sort associative arrays - $sorter = function(&$array) { + $sorter = function (&$array) { if (ArrayHelper::isAssociative($array)) { ksort($array); } diff --git a/framework/db/mssql/Schema.php b/framework/db/mssql/Schema.php index 35908437f48..1b1fb267e51 100644 --- a/framework/db/mssql/Schema.php +++ b/framework/db/mssql/Schema.php @@ -823,5 +823,4 @@ public function createColumnSchemaBuilder($type, $length = null) { return Yii::createObject(ColumnSchemaBuilder::className(), [$type, $length, $this->db]); } - } diff --git a/framework/views/migration.php b/framework/views/migration.php index 9c5c7cf9be8..6a725cbb48a 100644 --- a/framework/views/migration.php +++ b/framework/views/migration.php @@ -17,9 +17,6 @@ use yii\db\Migration; -/** - * Class - */ class extends Migration { /** diff --git a/framework/web/CacheSession.php b/framework/web/CacheSession.php index 5763a854096..f3d0d87a1af 100644 --- a/framework/web/CacheSession.php +++ b/framework/web/CacheSession.php @@ -92,7 +92,7 @@ public function openSession($savePath, $sessionName) * Session read handler. * @internal Do not call this method directly. * @param string $id session ID - * @return string the session data + * @return string|false the session data, or false on failure */ public function readSession($id) { diff --git a/framework/web/DbSession.php b/framework/web/DbSession.php index 7c7743b509d..1ef79cb7c6a 100644 --- a/framework/web/DbSession.php +++ b/framework/web/DbSession.php @@ -171,7 +171,7 @@ public function close() * Session read handler. * @internal Do not call this method directly. * @param string $id session ID - * @return string the session data + * @return string|false the session data, or false on failure */ public function readSession($id) { @@ -247,15 +247,13 @@ public function destroySession($id) * Session GC (garbage collection) handler. * @internal Do not call this method directly. * @param int $maxLifetime the number of seconds after which data will be seen as 'garbage' and cleaned up. - * @return bool whether session is GCed successfully + * @return int|false the number of deleted sessions on success, or false on failure */ public function gcSession($maxLifetime) { - $this->db->createCommand() + return $this->db->createCommand() ->delete($this->sessionTable, '[[expire]]<:expire', [':expire' => time()]) ->execute(); - - return true; } /** diff --git a/framework/web/Request.php b/framework/web/Request.php index 270c9e796ff..312654fc679 100644 --- a/framework/web/Request.php +++ b/framework/web/Request.php @@ -42,7 +42,7 @@ * not available. * @property-read CookieCollection $cookies The cookie collection. * @property-read string $csrfToken The token used to perform CSRF validation. - * @property-read string|null $csrfTokenFromHeader The CSRF token sent via [[CSRF_HEADER]] by browser. Null is + * @property-read string|null $csrfTokenFromHeader The CSRF token sent via [[csrfHeader]] by browser. Null is * returned if no such header is sent. * @property-read array $eTags The entity tags. * @property-read HeaderCollection $headers The header collection. @@ -91,7 +91,7 @@ class Request extends \yii\base\Request { /** - * The name of the HTTP header for sending CSRF token. + * Default name of the HTTP header for sending CSRF token. */ const CSRF_HEADER = 'X-CSRF-Token'; /** @@ -113,10 +113,41 @@ class Request extends \yii\base\Request * `yii.getCsrfToken()`, respectively. The [[\yii\web\YiiAsset]] asset must be registered. * You also need to include CSRF meta tags in your pages by using [[\yii\helpers\Html::csrfMetaTags()]]. * + * For SPA, you can use CSRF validation by custom header with a random or an empty value. + * Include a header with the name specified by [[csrfHeader]] to requests that must be validated. + * Warning! CSRF validation by custom header can be used only for same-origin requests or + * with CORS configured to allow requests from the list of specific origins only. + * * @see Controller::enableCsrfValidation * @see https://en.wikipedia.org/wiki/Cross-site_request_forgery */ public $enableCsrfValidation = true; + /** + * @var string the name of the HTTP header for sending CSRF token. Defaults to [[CSRF_HEADER]]. + * This property may be changed for Yii API applications only. + * Don't change this property for Yii Web application. + */ + public $csrfHeader = self::CSRF_HEADER; + /** + * @var array the name of the HTTP header for sending CSRF token. + * by default validate CSRF token on non-"safe" methods only + * This property is used only when [[enableCsrfValidation]] is true. + * @see https://datatracker.ietf.org/doc/html/rfc9110#name-safe-methods + */ + public $csrfTokenSafeMethods = ['GET', 'HEAD', 'OPTIONS']; + /** + * @var array "unsafe" methods not triggered a CORS-preflight request + * This property is used only when both [[enableCsrfValidation]] and [[validateCsrfHeaderOnly]] are true. + * @see https://fetch.spec.whatwg.org/#http-cors-protocol + */ + public $csrfHeaderUnsafeMethods = ['GET', 'HEAD', 'POST']; + /** + * @var bool whether to use custom header only to CSRF validation of SPA. Defaults to false. + * If false and [[enableCsrfValidation]] is true, CSRF validation by token will used. + * Warning! CSRF validation by custom header can be used for Yii API applications only. + * @see https://cheatsheetseries.owasp.org/cheatsheets/Cross-Site_Request_Forgery_Prevention_Cheat_Sheet.html#employing-custom-request-headers-for-ajaxapi + */ + public $validateCsrfHeaderOnly = false; /** * @var string the name of the token used to prevent CSRF. Defaults to '_csrf'. * This property is used only when [[enableCsrfValidation]] is true. @@ -1772,10 +1803,14 @@ protected function loadCookies() * along via a hidden field of an HTML form or an HTTP header value to support CSRF validation. * @param bool $regenerate whether to regenerate CSRF token. When this parameter is true, each time * this method is called, a new CSRF token will be generated and persisted (in session or cookie). - * @return string the token used to perform CSRF validation. + * @return null|string the token used to perform CSRF validation. Null is returned if the [[validateCsrfHeaderOnly]] is true. */ public function getCsrfToken($regenerate = false) { + if ($this->validateCsrfHeaderOnly) { + return null; + } + if ($this->_csrfToken === null || $regenerate) { $token = $this->loadCsrfToken(); if ($regenerate || empty($token)) { @@ -1819,11 +1854,11 @@ protected function generateCsrfToken() } /** - * @return string|null the CSRF token sent via [[CSRF_HEADER]] by browser. Null is returned if no such header is sent. + * @return string|null the CSRF token sent via [[csrfHeader]] by browser. Null is returned if no such header is sent. */ public function getCsrfTokenFromHeader() { - return $this->headers->get(static::CSRF_HEADER); + return $this->headers->get($this->csrfHeader); } /** @@ -1860,8 +1895,14 @@ protected function createCsrfCookie($token) public function validateCsrfToken($clientSuppliedToken = null) { $method = $this->getMethod(); - // only validate CSRF token on non-"safe" methods https://tools.ietf.org/html/rfc2616#section-9.1.1 - if (!$this->enableCsrfValidation || in_array($method, ['GET', 'HEAD', 'OPTIONS'], true)) { + + if ($this->validateCsrfHeaderOnly) { + return in_array($method, $this->csrfHeaderUnsafeMethods, true) + ? $this->headers->has($this->csrfHeader) + : true; + } + + if (!$this->enableCsrfValidation || in_array($method, $this->csrfTokenSafeMethods, true)) { return true; } diff --git a/framework/web/Session.php b/framework/web/Session.php index e9c3ebd5c48..98e80495500 100644 --- a/framework/web/Session.php +++ b/framework/web/Session.php @@ -175,34 +175,23 @@ protected function registerSessionHandler() static::$_originalSessionModule = $sessionModuleName; } + if ($this->handler === null && $this->getUseCustomStorage()) { + $this->handler = Yii::createObject( + [ + '__class' => SessionHandler::class, + '__construct()' => [$this], + ] + ); + } + if ($this->handler !== null) { - if (!is_object($this->handler)) { + if (is_array($this->handler)) { $this->handler = Yii::createObject($this->handler); } if (!$this->handler instanceof \SessionHandlerInterface) { throw new InvalidConfigException('"' . get_class($this) . '::handler" must implement the SessionHandlerInterface.'); } YII_DEBUG ? session_set_save_handler($this->handler, false) : @session_set_save_handler($this->handler, false); - } elseif ($this->getUseCustomStorage()) { - if (YII_DEBUG) { - session_set_save_handler( - [$this, 'openSession'], - [$this, 'closeSession'], - [$this, 'readSession'], - [$this, 'writeSession'], - [$this, 'destroySession'], - [$this, 'gcSession'] - ); - } else { - @session_set_save_handler( - [$this, 'openSession'], - [$this, 'closeSession'], - [$this, 'readSession'], - [$this, 'writeSession'], - [$this, 'destroySession'], - [$this, 'gcSession'] - ); - } } elseif ( $sessionModuleName !== static::$_originalSessionModule && static::$_originalSessionModule !== null @@ -610,7 +599,7 @@ public function closeSession() * This method should be overridden if [[useCustomStorage]] returns true. * @internal Do not call this method directly. * @param string $id session ID - * @return string the session data + * @return string|false the session data, or false on failure */ public function readSession($id) { @@ -647,11 +636,11 @@ public function destroySession($id) * This method should be overridden if [[useCustomStorage]] returns true. * @internal Do not call this method directly. * @param int $maxLifetime the number of seconds after which data will be seen as 'garbage' and cleaned up. - * @return bool whether session is GCed successfully + * @return int|false the number of deleted sessions on success, or false on failure */ public function gcSession($maxLifetime) { - return true; + return 0; } /** diff --git a/framework/web/SessionHandler.php b/framework/web/SessionHandler.php new file mode 100644 index 00000000000..7382f4545d6 --- /dev/null +++ b/framework/web/SessionHandler.php @@ -0,0 +1,79 @@ + + * @since 2.0.52 + */ +class SessionHandler implements SessionHandlerInterface +{ + /** + * @var Session + */ + private $_session; + + public function __construct(Session $session) + { + $this->_session = $session; + } + + /** + * @inheritDoc + */ + public function close(): bool + { + return $this->_session->closeSession(); + } + + /** + * @inheritDoc + */ + public function destroy($id): bool + { + return $this->_session->destroySession($id); + } + + /** + * @inheritDoc + */ + #[\ReturnTypeWillChange] + public function gc($max_lifetime) + { + return $this->_session->gcSession($max_lifetime); + } + + /** + * @inheritDoc + */ + public function open($path, $name): bool + { + return $this->_session->openSession($path, $name); + } + + /** + * @inheritDoc + */ + #[\ReturnTypeWillChange] + public function read($id) + { + return $this->_session->readSession($id); + } + + /** + * @inheritDoc + */ + public function write($id, $data): bool + { + return $this->_session->writeSession($id, $data); + } +} diff --git a/tests/framework/base/ErrorExceptionTest.php b/tests/framework/base/ErrorExceptionTest.php index 615b706fa6d..0054136ad7f 100644 --- a/tests/framework/base/ErrorExceptionTest.php +++ b/tests/framework/base/ErrorExceptionTest.php @@ -41,4 +41,13 @@ public function testXdebugTrace() $this->assertEquals(__FUNCTION__, $e->getTrace()[0]['function']); } } + + public function testStrictError() + { + if (!defined('E_STRICT')) { + $this->markTestSkipped('E_STRICT has been removed.'); + } + $e = new ErrorException('', @E_STRICT); + $this->assertEquals(PHP_VERSION_ID < 80400 ? 'PHP Strict Warning' : 'Error', $e->getName()); + } } diff --git a/tests/framework/base/WidgetTest.php b/tests/framework/base/WidgetTest.php index 067e9480125..c67cbedd885 100644 --- a/tests/framework/base/WidgetTest.php +++ b/tests/framework/base/WidgetTest.php @@ -72,6 +72,27 @@ public function testDependencyInjection() $this->assertSame('', $output); } + public function testDependencyInjectionWithCallableConfiguration() + { + Yii::$container = new Container(); + Yii::$container->setDefinitions([ + TestWidgetB::className() => function () { + return new TestWidget(['id' => 'test']); + } + ]); + + ob_start(); + ob_implicit_flush(false); + + $widget = TestWidgetB::begin(['id' => 'test']); + $this->assertTrue($widget instanceof TestWidget); + TestWidgetB::end(); + + $output = ob_get_clean(); + + $this->assertSame('', $output); + } + /** * @depends testBeginEnd */ diff --git a/tests/framework/web/RequestTest.php b/tests/framework/web/RequestTest.php index ec493e95b7c..932392e187d 100644 --- a/tests/framework/web/RequestTest.php +++ b/tests/framework/web/RequestTest.php @@ -211,6 +211,124 @@ public function testCsrfTokenHeader() } } + public function testCustomSafeMethodsCsrfTokenValidation() + { + $this->mockWebApplication(); + + $request = new Request(); + $request->csrfTokenSafeMethods = ['OPTIONS']; + $request->enableCsrfCookie = false; + $request->enableCsrfValidation = true; + + $token = $request->getCsrfToken(); + + // accept any value on custom safe request + foreach (['OPTIONS'] as $method) { + $_SERVER['REQUEST_METHOD'] = $method; + $this->assertTrue($request->validateCsrfToken($token)); + $this->assertTrue($request->validateCsrfToken($token . 'a')); + $this->assertTrue($request->validateCsrfToken([])); + $this->assertTrue($request->validateCsrfToken([$token])); + $this->assertTrue($request->validateCsrfToken(0)); + $this->assertTrue($request->validateCsrfToken(null)); + $this->assertTrue($request->validateCsrfToken()); + } + + // only accept valid token on other requests + foreach (['GET', 'HEAD', 'POST'] as $method) { + $_SERVER['REQUEST_METHOD'] = $method; + $this->assertTrue($request->validateCsrfToken($token)); + $this->assertFalse($request->validateCsrfToken($token . 'a')); + $this->assertFalse($request->validateCsrfToken([])); + $this->assertFalse($request->validateCsrfToken([$token])); + $this->assertFalse($request->validateCsrfToken(0)); + $this->assertFalse($request->validateCsrfToken(null)); + $this->assertFalse($request->validateCsrfToken()); + } + } + + public function testCsrfHeaderValidation() + { + $this->mockWebApplication(); + + $request = new Request(); + $request->validateCsrfHeaderOnly = true; + $request->enableCsrfValidation = true; + + // only accept valid header on unsafe requests + foreach (['GET', 'HEAD', 'POST'] as $method) { + $_SERVER['REQUEST_METHOD'] = $method; + $request->headers->remove(Request::CSRF_HEADER); + $this->assertFalse($request->validateCsrfToken()); + + $request->headers->add(Request::CSRF_HEADER, ''); + $this->assertTrue($request->validateCsrfToken()); + } + + // accept no value on other requests + foreach (['DELETE', 'PATCH', 'PUT', 'OPTIONS'] as $method) { + $_SERVER['REQUEST_METHOD'] = $method; + $this->assertTrue($request->validateCsrfToken()); + } + } + + public function testCustomHeaderCsrfHeaderValidation() + { + $this->mockWebApplication(); + + $request = new Request(); + $request->csrfHeader = 'X-JGURDA'; + $request->validateCsrfHeaderOnly = true; + $request->enableCsrfValidation = true; + + // only accept valid header on unsafe requests + foreach (['GET', 'HEAD', 'POST'] as $method) { + $_SERVER['REQUEST_METHOD'] = $method; + $request->headers->remove('X-JGURDA'); + $this->assertFalse($request->validateCsrfToken()); + + $request->headers->add('X-JGURDA', ''); + $this->assertTrue($request->validateCsrfToken()); + } + } + + public function testCustomUnsafeMethodsCsrfHeaderValidation() + { + $this->mockWebApplication(); + + $request = new Request(); + $request->csrfHeaderUnsafeMethods = ['POST']; + $request->validateCsrfHeaderOnly = true; + $request->enableCsrfValidation = true; + + // only accept valid custom header on unsafe requests + foreach (['POST'] as $method) { + $_SERVER['REQUEST_METHOD'] = $method; + $request->headers->remove(Request::CSRF_HEADER); + $this->assertFalse($request->validateCsrfToken()); + + $request->headers->add(Request::CSRF_HEADER, ''); + $this->assertTrue($request->validateCsrfToken()); + } + + // accept no value on other requests + foreach (['GET', 'HEAD'] as $method) { + $_SERVER['REQUEST_METHOD'] = $method; + $request->headers->remove(Request::CSRF_HEADER); + $this->assertTrue($request->validateCsrfToken()); + } + } + + public function testNoCsrfTokenCsrfHeaderValidation() + { + $this->mockWebApplication(); + + $request = new Request(); + $request->validateCsrfHeaderOnly = true; + + $this->assertEquals($request->getCsrfToken(), null); + } + public function testResolve() { $this->mockWebApplication([ diff --git a/tests/framework/web/session/AbstractDbSessionTest.php b/tests/framework/web/session/AbstractDbSessionTest.php index f8dbb32f550..2fe0fa2cdff 100644 --- a/tests/framework/web/session/AbstractDbSessionTest.php +++ b/tests/framework/web/session/AbstractDbSessionTest.php @@ -127,8 +127,9 @@ public function testGarbageCollection() $session->db->createCommand() ->update('session', ['expire' => time() - 100], 'id = :id', ['id' => 'expire']) ->execute(); - $session->gcSession(1); + $deleted = $session->gcSession(1); + $this->assertEquals(1, $deleted); $this->assertEquals('', $session->readSession('expire')); $this->assertEquals('new data', $session->readSession('new')); } diff --git a/tests/framework/web/session/SessionTest.php b/tests/framework/web/session/SessionTest.php index 1270aa4afed..7dfe1f17d90 100644 --- a/tests/framework/web/session/SessionTest.php +++ b/tests/framework/web/session/SessionTest.php @@ -65,6 +65,7 @@ public function testParamsAfterSessionStart() $this->assertNotEquals($oldUseCookies, $newUseCookies); $this->assertFalse($newUseCookies); } + $session->setUseCookies($oldUseCookies); $oldGcProbability = $session->getGCProbability(); $session->setGCProbability(100);