codecamp

XHP:接口

有两个重要的接口中XHP,XHPRoot和XHPChild; 在函数中添加类型注释时,您将需要使用这些注释。

XHPRoot

该XHPRoot接口由所有XHP对象实现; 在实践中,这意味着:

  • :x:element 子类 - 这些是重用(并组合)现有XHP类的类
  • :x:primitive子类 - 这些定义基本元素,例如:x:frag和所有基本的HTML元素
  • 所述的实施方式XHPUnsafeRenderable如下所述接口

XHPChild

XHP呈现树结构,该接口定义树的有效子节点; 这包括:

  • 所有的实现 XHPRoot
  • 字符串,整数,浮点数
  • 上述任何一个数组

尽管字符串,整数,浮点数和数组都不是对象,但是类型instanceof检查器和HHVM都认为它们可以实现这个接口 - 无论是对于参数/返回类型还是用于检查。

高级接口

虽然XHP的安全默认功能通常是有益的,但偶尔需要绕过它们; 最常见的情况是:

  • 迁移到XHP时需要嵌入另一个模板系统的输出。
  • 需要从其他来源嵌入HTML,例如Markdown或BBCode渲染器。

XHP通常会阻碍:

  • 转换所有变量,包括您的HTML代码。
  • 执行子关系 - XHP对象不能被标记为允许HTML字符串子对象。

该XHPUnsafeRenderable和XHPAlwaysValidChild接口允许绕过这些安全机制。

XHPUnsafeRenderable

如果您需要渲染原始HTML字符串,请将其包装在实现此接口的类中,并提供一种toHTMLString(): string方法:

<?hh
/* YOU PROBABLY SHOULDN'T DO THIS
 *
 * Even with a scary (and accurate) name, it tends to be over-used.
 * See below for an alternative.
 */
class ExamplePotentialXSSSecurityHole implements XHPUnsafeRenderable {
  public function __construct(
    private string $html,
  ) {
  }

  public function toHTMLString(): string {
    return $this->html;
  }
}

echo (
  <div class="markdown">
    {new ExamplePotentialXSSSecurityHole(
      HHVM\UserDocumentation\XHP\Examples\md_render('Markdown goes here')
    )}
  </div>
)."\n";

我们不提供此接口的实现,因为通用实现往往被过度使用 - 相反,考虑进行更具体的实现:

<?hh
class ExampleMarkdownXHPWrapper implements XHPUnsafeRenderable {
  private string $html;
  public function __construct(
    string $markdown_source,
  ) {
    $this->html = HHVM\UserDocumentation\XHP\Examples\md_render(
      $markdown_source
    );
  }

  public function toHTMLString(): string {
    return $this->html;
  }
}

echo (
  <div class="markdown">
    {new ExampleMarkdownXHPWrapper('Markdown goes here')}
  </div>
)."\n";

XHPAlwaysValidChild

可以通过实现此接口来绕过XHP的子级验证。实现此接口的大多数类也是实现XHPUnsafeRenderable,因为最常见的需求是当另一个渲染或模板系统生成子代时。

这也可以由XHP对象来实现,但这通常表示应该用类别替换子类规范。这个界面是故意打破XHP安全性的一部分,所以应尽量少用。

Example

<?hh
final class XHPUnsafeExample implements XHPUnsafeRenderable {
  public function toHTMLString(): string {
    return '<script>'.$_GET['I_LOVE_XSS'].'</script>';
  }
}

$inputs = Map {
  '<div />' => <div />,
  '<x:frag />' => <x:frag />,
  '"foo"' => 'foo',
  '3' => 3,
  'true' => true,
  'null' => null,
  'new stdClass()' => new stdClass(),
  '[<li />, <li />, <li />]' => [<li />, <li />, <li />],
  'XHPUnsafeExample' => new XHPUnsafeExample(),
};

$max_label_len = max($inputs->mapWithKey(($k, $_) ==> strlen($k)));
print str_repeat(' ', $max_label_len + 1)." | XHPRoot | XHPChild\n";
print str_repeat('-', $max_label_len + 1)."-|---------|----------\n";

foreach ($inputs as $label => $input) {
  printf(
    " %{$max_label_len}s | %-7s | %s\n",
    $label,
    $input instanceof XHPRoot ? 'yes' : 'no',
    $input instanceof XHPChild ? 'yes' : 'no',
  );
}

Output

                          | XHPRoot | XHPChild
--------------------------|---------|----------
                  <div /> | yes     | yes
               <x:frag /> | yes     | yes
                    "foo" | no      | yes
                        3 | no      | yes
                     true | no      | no
                     null | no      | no
           new stdClass() | no      | no
 [<li />, <li />, <li />] | no      | yes
         XHPUnsafeExample | no      | yes
XHP:基本使用
XHP:方法
温馨提示
下载编程狮App,免费阅读超1000+编程语言教程
取消
确定
目录

关闭

MIP.setData({ 'pageTheme' : getCookie('pageTheme') || {'day':true, 'night':false}, 'pageFontSize' : getCookie('pageFontSize') || 20 }); MIP.watch('pageTheme', function(newValue){ setCookie('pageTheme', JSON.stringify(newValue)) }); MIP.watch('pageFontSize', function(newValue){ setCookie('pageFontSize', newValue) }); function setCookie(name, value){ var days = 1; var exp = new Date(); exp.setTime(exp.getTime() + days*24*60*60*1000); document.cookie = name + '=' + value + ';expires=' + exp.toUTCString(); } function getCookie(name){ var reg = new RegExp('(^| )' + name + '=([^;]*)(;|$)'); return document.cookie.match(reg) ? JSON.parse(document.cookie.match(reg)[2]) : null; }