nette/http 3.4.0

dg · dg · commit c21939ba5785 · 2026-06-13T15:46:04.000+02:00
diff --git a/forms/cs/in-presenter.texy b/forms/cs/in-presenter.texy
@@ -359,7 +359,7 @@ Zmíněný CSRF útok spočívá v tom, že útočník naláká oběť na strán
 $form->allowCrossOrigin(); // POZOR! Vypne ochranu!
 ```
 
-Tato ochrana využívá SameSite cookie pojmenovanou `_nss`. Ochrana pomocí SameSite cookie nemusí být 100% spolehlivá, proto je vhodné zapnout ještě ochranu pomocí tokenu:
+Tato ochrana se opírá o hlavičky `Sec-Fetch-*` (Fetch Metadata), které prohlížeč posílá automaticky. Starší prohlížeče, které je neposílají, nejsou pokryté, proto je vhodné zapnout ještě ochranu pomocí tokenu:
 
 ```php
 $form->addProtection();
diff --git a/forms/cs/standalone.texy b/forms/cs/standalone.texy
@@ -304,9 +304,9 @@ Zmíněný CSRF útok spočívá v tom, že útočník naláká oběť na strán
 $form->allowCrossOrigin(); // POZOR! Vypne ochranu!
 ```
 
-Tato ochrana využívá SameSite cookie pojmenovanou `_nss`. Vytvářejte proto objekt formuláře ještě před odesláním prvního výstupu, aby bylo možné cookie odeslat.
+Tato ochrana se opírá o hlavičky `Sec-Fetch-*` (Fetch Metadata), které prohlížeč posílá automaticky s požadavkem.
 
-Ochrana pomocí SameSite cookie nemusí být 100% spolehlivá, proto je vhodné zapnout ještě ochranu pomocí tokenu:
+Starší prohlížeče, které tyto hlavičky neposílají, nejsou pokryté, proto je vhodné zapnout ještě ochranu pomocí tokenu:
 
 ```php
 $form->addProtection();
diff --git a/forms/en/in-presenter.texy b/forms/en/in-presenter.texy
@@ -359,7 +359,7 @@ The mentioned CSRF attack involves an attacker luring a victim to a page that si
 $form->allowCrossOrigin(); // WARNING! Disables protection!
 ```
 
-This protection uses a SameSite cookie named `_nss`. SameSite cookie protection might not be 100% reliable, so it's advisable to also enable token protection:
+This protection relies on the browser's `Sec-Fetch-*` headers (Fetch Metadata), which it sends automatically. Older browsers that don't send them are not covered, so it's advisable to also enable token protection:
 
 ```php
 $form->addProtection();
diff --git a/forms/en/standalone.texy b/forms/en/standalone.texy
@@ -304,9 +304,9 @@ The mentioned CSRF attack involves an attacker luring a victim to a page that si
 $form->allowCrossOrigin(); // WARNING! Disables protection!
 ```
 
-This protection uses a SameSite cookie named `_nss`. Therefore, create the form object before sending the first output so that the cookie can be sent.
+This protection relies on the browser's `Sec-Fetch-*` headers (Fetch Metadata), which it sends automatically with the request.
 
-SameSite cookie protection may not be 100% reliable, so it's advisable to also enable token protection:
+Older browsers that don't send these headers are not covered, so it's advisable to also enable token protection:
 
 ```php
 $form->addProtection();
diff --git a/http/cs/request.texy b/http/cs/request.texy
@@ -146,9 +146,41 @@ isSecured(): bool .[method]
 Je spojení šifrované (HTTPS)? Pro správnou funkčnost může být potřeba [nastavit proxy |configuration#HTTP proxy].
 
 
-isSameSite(): bool .[method]
-----------------------------
-Přichází požadavek ze stejné (sub)domény a je iniciován kliknutím na odkaz? Nette k detekci používá cookie `_nss` (dříve `nette-samesite`).
+isSameSite(): bool .[method deprecated]
+---------------------------------------
+Přišel požadavek ze stejné stránky (same-site)? Od verze 3.4 ji nahrazuje schopnější metoda [isFrom() |#isFrom].
+
+
+isFrom(FetchSite|array $site, FetchDest|array|null $dest=null, ?bool $user=null): bool .[method]{data-version:3.4}
+------------------------------------------------------------------------------------------------------------------
+Řekne vám, odkud požadavek přišel a jak ho prohlížeč vytvořil, na základě hlaviček `Sec-Fetch-*` (tzv. [Fetch Metadata |https://developer.mozilla.org/en-US/docs/Glossary/Fetch_metadata_request_header]), které prohlížeč nastavuje sám a stránka běžící v prohlížeči oběti je nedokáže zfalšovat ani odstranit. Nette ji interně používá k automatické ochraně formulářů a signálů před útoky [Cross-Site Request Forgery |nette:glossary#Cross-Site Request Forgery CSRF] (CSRF). Hodí se, když chcete ochránit vlastní citlivé akce, jako jsou API endpointy nebo destruktivní odkazy.
+
+Metoda vrátí `true` pouze tehdy, když požadavek splňuje **všechny** zadané podmínky. První parametr `$site` popisuje vztah mezi stránkou, která požadavek vyvolala, a vaším webem (hlavička `Sec-Fetch-Site`). Přijímá jednu hodnotu nebo pole těchto hodnot výčtu `FetchSite`:
+
+- `FetchSite::SameOrigin` – ze zcela stejného původu (schéma, host i port)
+- `FetchSite::SameSite` – ze stejného webu, případně z jiné subdomény
+- `FetchSite::CrossSite` – z cizího webu
+- `FetchSite::None` – uživatel jej vyvolal přímo, např. zadáním URL nebo otevřením záložky
+
+```php
+// přišel požadavek z našich vlastních stránek?
+if (!$httpRequest->isFrom([FetchSite::SameOrigin, FetchSite::SameSite])) {
+	// akci zablokujeme
+}
+```
+
+Volitelný parametr `$dest` (hlavička `Sec-Fetch-Dest`) udává, jaký druh zdroje prohlížeč načítá, např. `FetchDest::Document` pro navigaci na stránku nebo `FetchDest::Empty` pro požadavek z JavaScriptu. Volitelný parametr `$user` (hlavička `Sec-Fetch-User`) říká, zda navigaci vyvolala skutečná akce uživatele, jako kliknutí na odkaz či odeslání formuláře; hodnotou `true` ji vyžadujete.
+
+Kontrola, že je akce dostupná pouze z vlastních stránek a jen skutečnou akcí uživatele, pak vypadá takto:
+
+```php
+if (!$httpRequest->isFrom(FetchSite::SameOrigin, FetchDest::Document, user: true)) {
+	$this->error();
+}
+```
+
+.[note]
+Starší prohlížeče (Safari před 16.4) hlavičky `Sec-Fetch-*` neposílají. Pro ně Nette použije záložně cookie `SameSite=Strict`, která dokazuje pouze to, že požadavek není cross-site. Kontrolu, která navíc vyžaduje `$dest` nebo `$user`, tak nelze tímto způsobem ověřit a v těchto prohlížečích vrátí `false` – pokud je to příliš striktní, testujte jen `$site`.
 
 
 isAjax(): bool .[method]
diff --git a/http/cs/response.texy b/http/cs/response.texy
@@ -115,15 +115,16 @@ $httpResponse->sendAsFile('faktura.pdf');
 ```
 
 
-setCookie(string $name, string $value, $time, ?string $path=null, ?string $domain=null, ?bool $secure=null, ?bool $httpOnly=null, ?string $sameSite='Lax') .[method]
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
+setCookie(string $name, string $value, $time, ?string $path=null, ?string $domain=null, ?bool $secure=null, ?bool $httpOnly=null, SameSite|string $sameSite='Lax', bool $partitioned=false) .[method]
+-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
 Odešle cookie. Výchozí hodnoty parametrů:
 
-| `$path`     | `'/'`   | cookie má dosah na všechny cesty v (sub)doméně *(konfigurovatelné)*
-| `$domain`   | `null`  | což znamená s dosahem na aktuální (sub)doménu, ale nikoliv její subdomény *(konfigurovatelné)*
-| `$secure`   | `true`  | pokud web běží na HTTPS, jinak `false` *(konfigurovatelné)*
-| `$httpOnly` | `true`  | cookie je pro JavaScript nepřístupná
-| `$sameSite` | `'Lax'` | cookie nemusí být odeslána při [přístupu z jiné domény |nette:glossary#SameSite cookie]
+| `$path`        | `'/'`   | cookie má dosah na všechny cesty v (sub)doméně *(konfigurovatelné)*
+| `$domain`      | `null`  | což znamená s dosahem na aktuální (sub)doménu, ale nikoliv její subdomény *(konfigurovatelné)*
+| `$secure`      | `true`  | pokud web běží na HTTPS, jinak `false` *(konfigurovatelné)*
+| `$httpOnly`    | `true`  | cookie je pro JavaScript nepřístupná
+| `$sameSite`    | `'Lax'` | cookie nemusí být odeslána při [přístupu z jiné domény |nette:glossary#SameSite cookie]
+| `$partitioned` | `false` | zda je cookie partitioned, viz níže *(od verze 3.4)*
 
 Výchozí hodnoty parametrů `$path`, `$domain` a `$secure` můžete změnit v [konfiguraci |configuration#HTTP cookie].
 
@@ -135,7 +136,14 @@ $httpResponse->setCookie('lang', 'cs', '100 days');
 
 Parametr `$domain` určuje, které domény mohou cookie přijímat. Není-li uveden, cookie přijímá stejná (sub)doména, jako ji nastavila, ale nikoliv její subdomény. Pokud je `$domain` zadaný, jsou zahrnuty i subdomény. Proto je uvedení `$domain` méně omezující než vynechání. Například při `$domain = 'nette.org'` jsou cookies dostupné i na všech subdoménách jako `doc.nette.org`.
 
-Pro hodnotu `$sameSite` můžete použít konstanty `Response::SameSiteLax`, `SameSiteStrict` a `SameSiteNone`.
+Hodnotu `$sameSite` můžete předat jako enum `Nette\Http\SameSite` – `SameSite::Lax`, `SameSite::Strict` nebo `SameSite::None` (fungují i řetězce `'Lax'`, `'Strict'`, `'None'`). Pokud ji nastavíte na `SameSite::None`, automaticky se zapne atribut `$secure`, protože prohlížeče cookie se `SameSite=None` bez něj odmítají.
+
+.{data-version:3.4}
+Partitioned cookies (CHIPS) dávají cookie samostatné úložiště pro každý web nejvyšší úrovně. Když tedy služba třetí strany (například vložený widget) nastaví partitioned cookie, prohlížeč pro každý web, na kterém se widget objeví, uchovává oddělenou kopii a tyto kopie nelze vzájemně propojit pro sledování napříč weby. Zapnete je nastavením `$partitioned` na `true`; to zároveň vyžaduje atribut `$secure`, takže se zapne automaticky.
+
+```php
+$httpResponse->setCookie('theme', 'dark', '1 year', sameSite: SameSite::None, partitioned: true);
+```
 
 
 deleteCookie(string $name, ?string $path=null, ?string $domain=null, ?bool $secure=null): void .[method]
diff --git a/http/cs/sessions.texy b/http/cs/sessions.texy
@@ -183,8 +183,8 @@ setExpiration(?string $time): static .[method]
 Nastaví dobu neaktivity po které session vyexpiruje.
 
 
-setCookieParameters(string $path, ?string $domain=null, ?bool $secure=null, ?string $samesite=null): static .[method]
----------------------------------------------------------------------------------------------------------------------
+setCookieParameters(string $path, ?string $domain=null, ?bool $secure=null, SameSite|string|null $samesite=null): static .[method]
+----------------------------------------------------------------------------------------------------------------------------------
 Nastavení parametrů pro cookie. Výchozí hodnoty parametrů můžete změnit v [konfiguraci |configuration#Session cookie].
 
 
diff --git a/http/en/request.texy b/http/en/request.texy
@@ -146,9 +146,41 @@ isSecured(): bool .[method]
 Is the connection encrypted (HTTPS)? Proper functionality might require [setting up a proxy |configuration#HTTP Proxy].
 
 
-isSameSite(): bool .[method]
-----------------------------
-Is the request coming from the same (sub)domain and initiated by clicking a link? Nette uses the `_nss` cookie (formerly `nette-samesite`) for detection.
+isSameSite(): bool .[method deprecated]
+---------------------------------------
+Did the request come from the same site? Since version 3.4 it is replaced by the more capable [isFrom() |#isFrom].
+
+
+isFrom(FetchSite|array $site, FetchDest|array|null $dest=null, ?bool $user=null): bool .[method]{data-version:3.4}
+------------------------------------------------------------------------------------------------------------------
+Tells you where the request came from and how the browser made it, based on the `Sec-Fetch-*` headers (so-called [Fetch Metadata |https://developer.mozilla.org/en-US/docs/Glossary/Fetch_metadata_request_header]) that the browser sets itself and a page running in the victim's browser can neither forge nor remove. Nette uses it internally to automatically protect forms and signals against [Cross-Site Request Forgery |nette:glossary#Cross-Site Request Forgery CSRF] (CSRF). It is useful when you want to guard your own sensitive actions, such as API endpoints or destructive links.
+
+The method returns `true` only when the request matches **all** the conditions you provide. The first parameter `$site` describes the relationship between the page that initiated the request and your site (the `Sec-Fetch-Site` header). It accepts a single value or a list of these `FetchSite` cases:
+
+- `FetchSite::SameOrigin` – from the exact same origin (scheme, host, and port)
+- `FetchSite::SameSite` – from the same site, possibly a different subdomain
+- `FetchSite::CrossSite` – from a foreign site
+- `FetchSite::None` – the user initiated it directly, e.g. by typing the URL or opening a bookmark
+
+```php
+// did the request originate from our own pages?
+if (!$httpRequest->isFrom([FetchSite::SameOrigin, FetchSite::SameSite])) {
+	// block the action
+}
+```
+
+The optional `$dest` parameter (the `Sec-Fetch-Dest` header) says what kind of resource the browser is fetching, e.g. `FetchDest::Document` for a top-level navigation or `FetchDest::Empty` for a request made from JavaScript. The optional `$user` parameter (the `Sec-Fetch-User` header) indicates whether the navigation was triggered by a genuine user action such as clicking a link or submitting a form; pass `true` to require it.
+
+A check that an action is reachable only from your own pages and only through a real user action then looks like this:
+
+```php
+if (!$httpRequest->isFrom(FetchSite::SameOrigin, FetchDest::Document, user: true)) {
+	$this->error();
+}
+```
+
+.[note]
+Older browsers (Safari before 16.4) do not send the `Sec-Fetch-*` headers. For them Nette falls back to a `SameSite=Strict` cookie that only proves the request is not cross-site. A check that additionally requires `$dest` or `$user` cannot be verified this way and returns `false` in those browsers – if that is too strict, test only `$site`.
 
 
 isAjax(): bool .[method]
diff --git a/http/en/response.texy b/http/en/response.texy
@@ -115,15 +115,16 @@ $httpResponse->sendAsFile('invoice.pdf');
 ```
 
 
-setCookie(string $name, string $value, $time, ?string $path=null, ?string $domain=null, ?bool $secure=null, ?bool $httpOnly=null, ?string $sameSite='Lax') .[method]
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
+setCookie(string $name, string $value, $time, ?string $path=null, ?string $domain=null, ?bool $secure=null, ?bool $httpOnly=null, SameSite|string $sameSite='Lax', bool $partitioned=false) .[method]
+-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
 Sends a cookie. Default parameter values:
 
-| `$path`     | `'/'`   | cookie is available for all paths within the (sub)domain *(configurable)*
-| `$domain`   | `null`  | meaning available for the current (sub)domain, but not its subdomains *(configurable)*
-| `$secure`   | `true`  | if the site is running on HTTPS, otherwise `false` *(configurable)*
-| `$httpOnly` | `true`  | cookie is inaccessible to JavaScript
-| `$sameSite` | `'Lax'` | cookie might not be sent during [cross-origin access |nette:glossary#SameSite cookie]
+| `$path`        | `'/'`   | cookie is available for all paths within the (sub)domain *(configurable)*
+| `$domain`      | `null`  | meaning available for the current (sub)domain, but not its subdomains *(configurable)*
+| `$secure`      | `true`  | if the site is running on HTTPS, otherwise `false` *(configurable)*
+| `$httpOnly`    | `true`  | cookie is inaccessible to JavaScript
+| `$sameSite`    | `'Lax'` | cookie might not be sent during [cross-origin access |nette:glossary#SameSite cookie]
+| `$partitioned` | `false` | whether the cookie is partitioned, see below *(since v3.4)*
 
 You can change the default values of the `$path`, `$domain`, and `$secure` parameters in the [configuration |configuration#HTTP Cookie].
 
@@ -135,7 +136,14 @@ $httpResponse->setCookie('lang', 'en', '100 days');
 
 The `$domain` parameter determines which domains can accept the cookie. If not specified, the cookie is accepted by the same (sub)domain that set it, but not its subdomains. If `$domain` is specified, subdomains are also included. Therefore, specifying `$domain` is less restrictive than omitting it. For example, with `$domain = 'nette.org'`, cookies are also available on all subdomains like `doc.nette.org`.
 
-You can use the constants `Response::SameSiteLax`, `Response::SameSiteStrict`, and `Response::SameSiteNone` for the `$sameSite` value.
+You can pass the `$sameSite` value as a `Nette\Http\SameSite` enum – `SameSite::Lax`, `SameSite::Strict`, or `SameSite::None` (the string values `'Lax'`, `'Strict'`, `'None'` work too). If you set it to `SameSite::None`, the `$secure` attribute is enabled automatically, because browsers reject a `SameSite=None` cookie that is not secure.
+
+.{data-version:3.4}
+Partitioned cookies (CHIPS) give a cookie its own separate storage for each top-level site. So when a third-party service (such as an embedded widget) sets a partitioned cookie, the browser keeps a distinct copy for every site the widget appears on, and these copies cannot be linked together for cross-site tracking. Turn it on by setting `$partitioned` to `true`; this also requires the `$secure` attribute, so it is enabled automatically.
+
+```php
+$httpResponse->setCookie('theme', 'dark', '1 year', sameSite: SameSite::None, partitioned: true);
+```
 
 
 deleteCookie(string $name, ?string $path=null, ?string $domain=null, ?bool $secure=null): void .[method]
diff --git a/http/en/sessions.texy b/http/en/sessions.texy
@@ -183,8 +183,8 @@ setExpiration(?string $time): static .[method]
 Sets the inactivity time after which the session expires.
 
 
-setCookieParameters(string $path, ?string $domain=null, ?bool $secure=null, ?string $samesite=null): static .[method]
----------------------------------------------------------------------------------------------------------------------
+setCookieParameters(string $path, ?string $domain=null, ?bool $secure=null, SameSite|string|null $samesite=null): static .[method]
+----------------------------------------------------------------------------------------------------------------------------------
 Sets parameters for cookies. You can change the default parameter values in the [configuration |configuration#Session Cookie].
 
 
