InstantCMS 2.17.0

Всем привет!

Как всегда, перед новым годом, мы выпускаем очередной релиз. В нём очень много «невидимых» обывателю правок, например рефакторинг кода, исправление небольших архитектурных изъянов (которые не ломают обратную совместимость), документирование кода. Но и нового функционала мы, конечно же, добавили.

Новый компонент Content Security Policy

Компонент реализует добавление HTTP заголовков CSP ко всем ответам InstantCMS. Content Security Policy — это механизм обеспечения безопасности, с помощью которого можно защищаться от атак с внедрением контента, например, межсайтового скриптинга (XSS, cross site scripting). CSP описывает безопасные источники загрузки ресурсов, устанавливает правила использования встроенных стилей, скриптов, а также динамической оценки JavaScript — например, с помощью eval. Загрузка с ресурсов, не входящих в «белый список», блокируется.

Помимо внедрения самого компонента, мы сделали очень много полезных правок: избавились везде от инлайн вызовов JavaScript, например от onclick. В админке все JavaScript вызываются согласно архитектуре. Иными словами, мы добились отсутствия нотисов CSP при максимально включенном режиме. Для script тегов добавлен везде атрибут nonce. По умолчанию CSP HTTP заголовки выключены, мы рекомендуем включать с осторожностью, тестируя в режиме «Только отчёты». Более подробнее описано в документации.

Кастомизация установочного архива InstantCMS

Я уже писал в посте тестирования RC версии, повторюсь кратко. 

Начиная с этого релиза вы можете делать свои сборки. В комплекте установщика теперь есть скрипт для кастомной сборки, InstantCMS можно установить без 16 компонентов, что бывает полезно для некоторых разработок. Но это ещё не всё. Вы можете добавлять любое бесплатное дополнение из нашего каталога в сборку, всё так же, используя скрипт.

Для тех кто не хочет использовать скрипт мы сделали отдельную страницу генерации сборок на этом сайте. Она всегда на основе последней версии InstantCMS. В выбор сторонних дополнений в форме мы добавляем сами, помечая проверенные. Сторонние дополнения для сборок будут пополняться. Некоторые дополнения мы добавим сами, на своё усмотрение. Механизм модерации для включения дополнений в этот список мы добавим чуть позже.

Остальные изменения

• Исправлен баг с набором «Участие в группах» компонента «Группы»;
• Исправлен баг с опцией сортировки полей-списков;
• Управление MIME-типами в админке. Все проблемы с ними решены;
• Исправлен баг со сменой языка при ремапе;
• В компонент подписок добавлены опции «Показывать кнопку подписки в списке», «Показывать кнопку подписки в фильтре» и управление позицией показа кнопки;
• Убрана опция «Добавлять номера страниц в тег title при пагинации», вместо неё можно использовать выражение {page} в паттернах;
• Mobile Detect 3.74.3;
• ScssPhp 1.13.0;
• TinyMCE 7.6.0 + исправлены баги;
• Редактор Ace обновлён до версии 1.36.5;
• jQuery UI, CroppeJS, jquery.inputmask, VueJS актуальных версий;
• Минимальная версия для InstantCMS теперь PHP: 7.2.0;
• Вместо cmsUser::goLogin() используйте теперь $this->redirectToLogin() в контроллерах;
• Исправлена XSS в exif параметрах;
• Для механизма кэширования добавлены методы pause() и resume(), таким образом в своих дополнениях вы можете это использовать, если будет необходимо;
• Для ячеек гридов добавлено свойство class_handler, где вы можете назначить функцию обработчик значения для CSS класса;
• Переработан класс cmsUploader;
• В обёртки виджетов теперь передаются полные данные виджета, в своих виджетах вы можете переопределять метод createPositionData();
• Исправлена проблема, когда в админке невозможно было удалить категории;
• Вкладки профилей с опцией «показывать только владельцу профиля», показываются суперадминам тоже;
• Добавлена возможность динамически менять атрибуты тега <html> лайоута шаблона;
• Автоматический механизм Last-Modified — IF_MODIFIED_SINCE, достаточно установить заголовок Last-Modified;
• Исправлена работа поля «Категории контента»;
• Автоспойлер для больших описаний фотографий в фотоальбомах;
• Добавлен опциональный показ кол-ва записей в категориях ТК;
• В опцию «Тип вывода» в связях добавлен пункт «Список в поле»;
• Добавлена поддержка отрицательных масок для конкретного виджета;
• Новый класс cmsResponse для работы с HTTP ответом, функция header теперь не вызывается нигде в коде напрямую, для установки хедеров используйте в контроллерах $this->cms_core->response->setHeader('name', 'value');
• Класс cmsRequest дополнен для работы с HTTP заголовками запроса, с массивом $_SERVER и методом HTTP запроса;
• Опции полей свойств, опции валидации для свойств, фильтры для свойств в админке, поддержка разных файлов email писем об успешной модерации для типов контента;
• События от пользователей, помеченных как удалённые, теперь не выводятся в ленте активности;
• Исправлена ошибка в быстром подборе масок;
• Добавлены хуки: content_category_before_delete, users_profile_before_update_notices;
• Добавлен трейт fieldsParseable для единой обработки полей в ТК, профилях и группах;
• Исправлена фильтрация по скрытым родителям записей ТК;
• Добавлена мультиязычность для кнопки виджета «All news by the author»;
• Исправлено отсутствие языковой константы в уведомлении об оценке материала;
• Тег video теперь может быть пустым в типографе;
• Исправлены некоторые проблемы при работе на Windows-системах;
• Добавлено отображение имени файла в email-письме при отправке формы конструктора форм;
• В трейте formItem теперь можно использовать свойства submit_title, use_default_tool_buttons, json_callback. Трейт имеет режим копирования записи;
• Исправлена работа некоторых WYSIWYG-редакторов в комментариях и на стенах в Firefox;
• В поле «список изображений» добавлен CSS для блока загрузки DnD;
• Опция placeholder для редактора Tiny;
• Для забытых разделов админки добавлен csrf_token;
• Почти вся админка приведена к единому набору иконок;
• Экспериментальная поддержка прав доступа для разделов админки (управление не реализовано, только через БД);
• Единый CSS класс icms-click-select для инпутов, которые должны по клику выделять свой текст;
• Токены через random_bytes;
• Метод $request->getContent() для получения php://input;
• Вкладка формы с полем ошибки HTML валидации теперь становится автоматически активной;
• В манифестах установочных пакетов добавлена возможность указывать минимальную версию PHP и зависимость от модулей PHP, включая номера версий;
• Добавлен метод getMetaHandled в cmsTemplate. Он отдаёт текущие мета параметры;
• Добавлены опции CSS классов для полей в записи и в списке;
• Поддержка виртуальных полей в группах, профилях и виджетах;
• Исправлено отсутствие расширения файла во вложениях из конструктора форм;
• Исправлена работа уведомления в модальном окне конструктора форм;
• Магия с cms_users/model_content и т.п. вынесена в трейт и доступна теперь в том числе и в виджетах;
• Полное наследование в SCSS для дочерних шаблонов, включая внутренний импорт. Zau4man упомянул об этом в своём блоге;
• CSS класс для ссылок icms-action-confirm, наличие которого вместе с атрибутом data-confirm делает переход по ссылке с автоматическим подтверждением;
• Добавлены описания для тегов;
• Аватарка в админке в меню ограничена в размерах;
• Для поля связей «Родитель» добавлена опция вывода только в глубиномере;
• В разделе виджеты и страницы админки добавлен показ подсказки на фантомном виджете с названием страницы, к которой он привязан;
• Добавлен механизм смены автора записи ТК;
• Увеличено кол-во символов для полей SEO;
• Добавлен hookAfterUpdate для полей свойств;
• Исправлена ошибка с валидацией параметров подписок для гостей;
• Добавлен шаблон вывода виджета списка записей для ТК фотоальбомы;
• В админке в списке комментариев добавлена фильтрация по ТК и вывод имени комментируемой записи;
• Исправлено формирования SEO паттернов компонентов при включенной мультиязычности;
• Для TinyMCE добавлены опции «Блочный элемент» (вместо Перевод каретки) и «Поведение новой строки»;
• Для комментариев добавлена опция «Скрывать комментарии удалённых пользователей»;
• Добавлена поддержка мультиязычности для связки Запись ТК -> Группа;
• Убран вызов mysqli->ping() как устаревший и неработающий с php8.2;
• PHPMailer 6.9.3;
• Корректная версия SQL сервера в разделе «Информация о системе»;
• Поддержка переменной окружения ICMS_CONFIG_DIR для пути к директории конфигураций;
• Всё, что лежит в system/config/ теперь можно выносить за корневую директорию;
• Поддержка массового удаления пользователей в админке;
• При удалении виджетов теперь вызывается методы полей $field>delete();
• Классы google_authenticator и idna_convert теперь совместимы с php8.3+;
• Новый класс cmsAutoloader и механизмы автозагрузки;
• Поддержка английского языка для каталога дополнений в админке;
• В компоненте «Авторизация и Регистрация» а также в поле «Защита от спама» добавлена опция выбора конкретной капчи;
• Опция «Показывать капчу после неудачной авторизации» переименована в «Показывать капчу при авторизации», т.е. при включении её, капча будет всегда;
• Переписан механизм установки пакетов дополнений, добавлен класс cmsInstaller для работы с ними;
• Исправлен баг с utf8_general_ci;
• Добавлены фильтры по пользователям для массовой рассылки сообщений;
• Очень много задокументированного кода;
• Много рефакторинга и исправление мелких ошибок.

Кроме всего перечисленного, часть важных изменений мы описали в документации. Вы можете посмотреть историю правок на этой странице. Подробнее об изменениях вы можете узнать, ознакомившись с описаниями всех коммитов с прошлого релиза и взглянуть на закрытые тикеты / пулреквесты.

Дальнейшие планы

Помимо всего прочего, в ближайшее время в комплекте InstantCMS появится Биллинг. Бесплатно. Открыто. r2 передал биллинг мне и было решено интегрировать его в комплект InstantCMS. От этого выиграют все, даже те, кто его покупал, поскольку будет поддержка уже в контексте полной сборки InstantCMS. И да, кому он не нужен, всегда смогут собрать дистрибутив без него, см. выше про сборки. r2 передавал всем поздравления с новым годом вот таким подарком. Надеюсь этот жест будет понят правильно.

Сроки внедрения Биллинга пока не ясны, этот релиз забрал слишком много сил. Однако, хочется сделать побыстрее. Поэтому в ближайшем обновлении (если критических багов в 2.17.0 не будет), полагаю, Биллинг будет в комплекте.

В ближайшее время я постараюсь сделать на этом сайте раздел складчин по просьбам многих участников сообщества. Надеюсь это решит многие проблемы как выбора исполнителей, так и дорогих разработок.

Как установить обновление InstantCMS

Важно! Убедитесь, что сейчас вы используете версию 2.16.3, иначе, обновитесь сначала до неё.

Перед началом обновления обязательно сделайте самостоятельно резервную копию своего сайта и дамп базы данных. Мы не несем никакой ответственности за любые потери данных, произошедшие в результате неправильных действий при обновлении.

• Отключите кеширование в настройках сайта;
• Отключите объединение js и css в настройках сайта;
• Если вы используете свой шаблон и в нем есть файлы, присутствующие в пакете обновления, то обновите их;
• При возникновении «белого экрана» категорически читать здесь;
• Для тех, у кого свой шаблон у нас есть статья как быть, если в обновлении CMS есть изменения в шаблоне, рекомендуем к прочтению.

Если в вашем шаблоне присутствуют JavaScript файлы со своими правками (взяты из /templates/default/js/ или /templates/modern/js/), замените/смержите их из пакета обновления. Не забывайте о сбросе кэша браузера абстрактным счетчиком для посетителей ваших сайтов.

Механизм установки обновлений подробно описан по этой ссылке в документации.

Отключите сторонние компоненты капчи и показ капчи при авторизации, так как для работы в 2.17.0 нужны незначительно доработки со стороны их авторов. Например для smCaptcha требуется сделать примерно так.

Пакет обновления для ручной установки можно скачать по этой ссылке. Демо сайт обновлён.

С наступающим новым годом! Спасибо за сообщения об ошибках. Спасибо, что выбираете InstantCMS.