Flashes without escaping / Flash zprávy bez escapování

[altosch]

Bylo by prosím možné doplnit nějakou volbu, aby se flashe neescapovaly? Když chci zahrnout nějaké tučné nebo barevné písmo, aby se v tom uživatel lépe vyznal, vypíšou se HTML tagy. Nějakou alternativu k

$this->flashMessage('<strong>POZOR</strong> došlo k chybě...', 'danger');
{$flash->message|noescape}

[JanGalek]

@altosch tohle by nittro řešit podle mě ani nemělo.

Napiš spíš na nette, nejspíše do balíčku latte.

[jahudka]

@JanGalek no, pravda je taková, že když si flashe vypisuješ ručně, tak si tam to |noescape klidně dát můžeš a bude to fungovat - problém je, že Nittro na flashe definuje takový custom macro, který flashe renderuje v latte a přidává k nim nějaký data atributy, aby je frontend pak našel a uměl schovat a aby uměl vykreslit flashe který přijdou AJAXem - takže tohle skutečně bude potřeba opravit v Nittru.

@altosch podpora pro HTML flashe v JS komponentě nittro-flashes už existuje, ale bohužel není propojená s tím Latte macrem.. promyslím nějak jak to přidat a pořeším to, ale asi to nebude úplně hned :-(

[JanGalek]

@jahudka ano vím o tom, sám používám, ale nevěděl jsem, že nittro ještě je upravuje. Tak to se omlouvám. :)

[yess-webioza]

Tiež by bolo super, ak by sa toto implementovalo pre form errors.

[spaze]

Nevím, jestli to pomůže (neznám Nittro), ale třeba by to šlo nějak takhle, v šabloně pak není třeba escapovat:

$el = Html::el()
  ->addHtml(Html::el('strong')->setText('POZOR'))
  ->addText(' došlo k chybě...');
$this->flashMessage($el);

Pokud je to mimo, tak se omlouvám.

[jahudka]

@spaze no, nevím jestli tohle projde v Nette 3 (nemá tam už metoda flashMessage() striktně natypovanou $message jako string?), ale hlavně - i kdyby tohle šlo udělat v presenteru, musíš to pak nějak vyrenderovat v šabloně (to by ještě šlo ošetřit uvnitř nittro makra n:flashes), a zároveň to musíš umět nějak vyrenderovat na frontendu když ti flashes přijdou AJAXem (což pak vůbec neprochází přes šablonu) - a tam je hlavní problém - jak má Nittro spolehlivě detekovat, jestli ta která flash message už prošla escapováním na serveru nebo ne, protože spolehnout se na to, že budou flashky escapovaný vždycky už v payloadu by znamenalo potenciální XSS..

[spaze]

Nette 3: https://github.com/nette/application/blob/v3.0.0-RC2/src/Application/UI/Control.php#L72

Jak jsem psal, Nittro bohužel neznám, v "klasickém" Nette+Latte je tohle řešením, jak nepoužívat |noescape (což je dobrý nápad) a přesto mít možnost flešky formátovat pomocí HTML. Doufal jsem, že i tak by to mohlo někomu pomoci.

[mark-31]

@jahudka Řesím stejný problém a mám projekt už na Nette 3, kde zatím $message není striktně natypovaná, nicméně chápu, že se na to nedá do budoucna spolehnout. Myslím si, že to se dá vyřešit tím, že se přetíží metoda flashMessage a posílat do ní i 3 argument (případně pole, pokud by těch nastavení bylo více). Stejně všichni dědíme NittroUI\Presenter. Co myslíš?