Code Coverage
 
Lines
Functions and Methods
Classes and Traits
Total
79.30% covered (warning)
79.30%
295 / 372
51.43% covered (warning)
51.43%
18 / 35
CRAP
0.00% covered (danger)
0.00%
0 / 1
Html
79.51% covered (warning)
79.51%
295 / 371
51.43% covered (warning)
51.43%
18 / 35
275.28
0.00% covered (danger)
0.00%
0 / 1
 buttonAttributes
0.00% covered (danger)
0.00%
0 / 2
0.00% covered (danger)
0.00%
0 / 1
2
 getTextInputAttributes
0.00% covered (danger)
0.00%
0 / 2
0.00% covered (danger)
0.00%
0 / 1
2
 linkButton
0.00% covered (danger)
0.00%
0 / 5
0.00% covered (danger)
0.00%
0 / 1
2
 submitButton
0.00% covered (danger)
0.00%
0 / 3
0.00% covered (danger)
0.00%
0 / 1
2
 rawElement
100.00% covered (success)
100.00%
4 / 4
100.00% covered (success)
100.00%
1 / 1
2
 element
100.00% covered (success)
100.00%
8 / 8
100.00% covered (success)
100.00%
1 / 1
1
 openElement
97.22% covered (success)
97.22%
35 / 36
0.00% covered (danger)
0.00%
0 / 1
7
 closeElement
100.00% covered (success)
100.00%
2 / 2
100.00% covered (success)
100.00%
1 / 1
1
 dropDefaults
98.28% covered (success)
98.28%
57 / 58
0.00% covered (danger)
0.00%
0 / 1
23
 expandAttributes
100.00% covered (success)
100.00%
39 / 39
100.00% covered (success)
100.00%
1 / 1
17
 inlineScript
100.00% covered (success)
100.00%
4 / 4
100.00% covered (success)
100.00%
1 / 1
2
 linkedScript
0.00% covered (danger)
0.00%
0 / 6
0.00% covered (danger)
0.00%
0 / 1
12
 inlineStyle
0.00% covered (danger)
0.00%
0 / 9
0.00% covered (danger)
0.00%
0 / 1
6
 linkedStyle
0.00% covered (danger)
0.00%
0 / 5
0.00% covered (danger)
0.00%
0 / 1
2
 input
100.00% covered (success)
100.00%
4 / 4
100.00% covered (success)
100.00%
1 / 1
1
 check
100.00% covered (success)
100.00%
7 / 7
100.00% covered (success)
100.00%
1 / 1
3
 messageBox
95.45% covered (success)
95.45%
21 / 22
0.00% covered (danger)
0.00%
0 / 1
3
 noticeBox
0.00% covered (danger)
0.00%
0 / 5
0.00% covered (danger)
0.00%
0 / 1
2
 warningBox
100.00% covered (success)
100.00%
3 / 3
100.00% covered (success)
100.00%
1 / 1
1
 errorBox
100.00% covered (success)
100.00%
3 / 3
100.00% covered (success)
100.00%
1 / 1
1
 successBox
100.00% covered (success)
100.00%
3 / 3
100.00% covered (success)
100.00%
1 / 1
1
 radio
100.00% covered (success)
100.00%
7 / 7
100.00% covered (success)
100.00%
1 / 1
3
 label
100.00% covered (success)
100.00%
4 / 4
100.00% covered (success)
100.00%
1 / 1
1
 hidden
0.00% covered (danger)
0.00%
0 / 1
0.00% covered (danger)
0.00%
0 / 1
2
 textarea
0.00% covered (danger)
0.00%
0 / 5
0.00% covered (danger)
0.00%
0 / 1
6
 namespaceSelectorOptions
100.00% covered (success)
100.00%
20 / 20
100.00% covered (success)
100.00%
1 / 1
10
 namespaceSelector
100.00% covered (success)
100.00%
34 / 34
100.00% covered (success)
100.00%
1 / 1
8
 htmlHeader
0.00% covered (danger)
0.00%
0 / 16
0.00% covered (danger)
0.00%
0 / 1
20
 isXmlMimeType
100.00% covered (success)
100.00%
1 / 1
100.00% covered (success)
100.00%
1 / 1
1
 srcSet
100.00% covered (success)
100.00%
9 / 9
100.00% covered (success)
100.00%
1 / 1
3
 encodeJsVar
100.00% covered (success)
100.00%
3 / 3
100.00% covered (success)
100.00%
1 / 1
2
 encodeJsCall
0.00% covered (danger)
0.00%
0 / 4
0.00% covered (danger)
0.00%
0 / 1
6
 encodeJsList
0.00% covered (danger)
0.00%
0 / 7
0.00% covered (danger)
0.00%
0 / 1
20
 listDropdownOptions
86.36% covered (warning)
86.36%
19 / 22
0.00% covered (danger)
0.00%
0 / 1
11.31
 listDropdownOptionsOoui
100.00% covered (success)
100.00%
8 / 8
100.00% covered (success)
100.00%
1 / 1
4
1<?php
2/**
3 * Collection of methods to generate HTML content
4 *
5 * Copyright © 2009 Aryeh Gregor
6 * https://www.mediawiki.org/
7 *
8 * This program is free software; you can redistribute it and/or modify
9 * it under the terms of the GNU General Public License as published by
10 * the Free Software Foundation; either version 2 of the License, or
11 * (at your option) any later version.
12 *
13 * This program is distributed in the hope that it will be useful,
14 * but WITHOUT ANY WARRANTY; without even the implied warranty of
15 * MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the
16 * GNU General Public License for more details.
17 *
18 * You should have received a copy of the GNU General Public License along
19 * with this program; if not, write to the Free Software Foundation, Inc.,
20 * 51 Franklin Street, Fifth Floor, Boston, MA 02110-1301, USA.
21 * http://www.gnu.org/copyleft/gpl.html
22 *
23 * @file
24 */
25
26namespace MediaWiki\Html;
27
28use MediaWiki\Json\FormatJson;
29use MediaWiki\MainConfigNames;
30use MediaWiki\MediaWikiServices;
31use MediaWiki\Request\ContentSecurityPolicy;
32use UnexpectedValueException;
33
34/**
35 * This class is a collection of static functions that serve two purposes:
36 *
37 * 1) Implement any algorithms specified by HTML5, or other HTML
38 * specifications, in a convenient and self-contained way.
39 *
40 * 2) Allow HTML elements to be conveniently and safely generated, like the
41 * current Xml class but a) less confused (Xml supports HTML-specific things,
42 * but only sometimes!) and b) not necessarily confined to XML-compatible
43 * output.
44 *
45 * There are two important configuration options this class uses:
46 *
47 * $wgMimeType: If this is set to an xml MIME type then output should be
48 *     valid XHTML5.
49 *
50 * This class is meant to be confined to utility functions that are called from
51 * trusted code paths.  It does not do enforcement of policy like not allowing
52 * <a> elements.
53 *
54 * @since 1.16
55 */
56class Html {
57    /** @var bool[] List of void elements from HTML5, section 8.1.2 as of 2016-09-19 */
58    private static $voidElements = [
59        'area' => true,
60        'base' => true,
61        'br' => true,
62        'col' => true,
63        'embed' => true,
64        'hr' => true,
65        'img' => true,
66        'input' => true,
67        'keygen' => true,
68        'link' => true,
69        'meta' => true,
70        'param' => true,
71        'source' => true,
72        'track' => true,
73        'wbr' => true,
74    ];
75
76    /**
77     * Boolean attributes, which may have the value omitted entirely.  Manually
78     * collected from the HTML5 spec as of 2011-08-12.
79     * @var bool[]
80     */
81    private static $boolAttribs = [
82        'async' => true,
83        'autofocus' => true,
84        'autoplay' => true,
85        'checked' => true,
86        'controls' => true,
87        'default' => true,
88        'defer' => true,
89        'disabled' => true,
90        'formnovalidate' => true,
91        'hidden' => true,
92        'ismap' => true,
93        'itemscope' => true,
94        'loop' => true,
95        'multiple' => true,
96        'muted' => true,
97        'novalidate' => true,
98        'open' => true,
99        'pubdate' => true,
100        'readonly' => true,
101        'required' => true,
102        'reversed' => true,
103        'scoped' => true,
104        'seamless' => true,
105        'selected' => true,
106        'truespeed' => true,
107        'typemustmatch' => true,
108    ];
109
110    /**
111     * Modifies a set of attributes meant for button elements.
112     *
113     * @param array $attrs HTML attributes in an associative array
114     * @param string[] $modifiers Unused
115     * @return array Modified attributes array
116     * @deprecated since 1.42 No-op
117     */
118    public static function buttonAttributes( array $attrs, array $modifiers = [] ) {
119        wfDeprecated( __METHOD__, '1.42' );
120        return $attrs;
121    }
122
123    /**
124     * Modifies a set of attributes meant for text input elements.
125     *
126     * @param array $attrs An attribute array.
127     * @return array Modified attributes array
128     * @deprecated since 1.42 No-op
129     */
130    public static function getTextInputAttributes( array $attrs ) {
131        wfDeprecated( __METHOD__, '1.42' );
132        return $attrs;
133    }
134
135    /**
136     * Returns an HTML link element in a string.
137     *
138     * @param string $text The text of the element. Will be escaped (not raw HTML)
139     * @param array $attrs Associative array of attributes, e.g., [
140     *   'href' => 'https://www.mediawiki.org/' ]. See expandAttributes() for
141     *   further documentation.
142     * @param string[] $modifiers Unused
143     * @return string Raw HTML
144     */
145    public static function linkButton( $text, array $attrs, array $modifiers = [] ) {
146        return self::element(
147            'a',
148            $attrs,
149            $text
150        );
151    }
152
153    /**
154     * Returns an HTML input element in a string.
155     *
156     * @param string $contents Plain text label for the button value
157     * @param array $attrs Associative array of attributes, e.g., [
158     *   'href' => 'https://www.mediawiki.org/' ]. See expandAttributes() for
159     *   further documentation.
160     * @param string[] $modifiers Unused
161     * @return string Raw HTML
162     */
163    public static function submitButton( $contents, array $attrs = [], array $modifiers = [] ) {
164        $attrs['type'] = 'submit';
165        $attrs['value'] = $contents;
166        return self::element( 'input', $attrs );
167    }
168
169    /**
170     * Returns an HTML element in a string.  The major advantage here over
171     * manually typing out the HTML is that it will escape all attribute
172     * values.
173     *
174     * This is quite similar to Xml::tags(), but it implements some useful
175     * HTML-specific logic.  For instance, there is no $allowShortTag
176     * parameter: the closing tag is magically omitted if $element has an empty
177     * content model.
178     *
179     * @param string $element The element's name, e.g., 'a'
180     * @param-taint $element tainted
181     * @param array $attribs Associative array of attributes, e.g., [
182     *   'href' => 'https://www.mediawiki.org/' ]. See expandAttributes() for
183     *   further documentation.
184     * @param-taint $attribs escapes_html
185     * @param string $contents The raw HTML contents of the element: *not*
186     *   escaped!
187     * @param-taint $contents tainted
188     * @return string Raw HTML
189     * @return-taint escaped
190     */
191    public static function rawElement( $element, $attribs = [], $contents = '' ) {
192        $start = self::openElement( $element, $attribs );
193        if ( isset( self::$voidElements[$element] ) ) {
194            return $start;
195        } else {
196            return $start . $contents . self::closeElement( $element );
197        }
198    }
199
200    /**
201     * Identical to rawElement(), but HTML-escapes $contents (like
202     * Xml::element()).
203     *
204     * @param string $element Name of the element, e.g., 'a'
205     * @param-taint $element tainted
206     * @param array $attribs Associative array of attributes, e.g., [
207     *   'href' => 'https://www.mediawiki.org/' ]. See expandAttributes() for
208     *   further documentation.
209     * @param-taint $attribs escapes_html
210     * @param string $contents
211     * @param-taint $contents escapes_html
212     *
213     * @return string
214     * @return-taint escaped
215     */
216    public static function element( $element, $attribs = [], $contents = '' ) {
217        return self::rawElement(
218            $element,
219            $attribs,
220            strtr( $contents ?? '', [
221                // There's no point in escaping quotes, >, etc. in the contents of
222                // elements.
223                '&' => '&amp;',
224                '<' => '&lt;',
225            ] )
226        );
227    }
228
229    /**
230     * Identical to rawElement(), but has no third parameter and omits the end
231     * tag (and the self-closing '/' in XML mode for empty elements).
232     *
233     * @param string $element Name of the element, e.g., 'a'
234     * @param array $attribs Associative array of attributes, e.g., [
235     *   'href' => 'https://www.mediawiki.org/' ]. See expandAttributes() for
236     *   further documentation.
237     *
238     * @return string
239     */
240    public static function openElement( $element, $attribs = [] ) {
241        $attribs = (array)$attribs;
242        // This is not required in HTML5, but let's do it anyway, for
243        // consistency and better compression.
244        $element = strtolower( $element );
245
246        // Some people were abusing this by passing things like
247        // 'h1 id="foo" to $element, which we don't want.
248        if ( str_contains( $element, ' ' ) ) {
249            wfWarn( __METHOD__ . " given element name with space '$element'" );
250        }
251
252        // Remove invalid input types
253        if ( $element == 'input' ) {
254            $validTypes = [
255                'hidden' => true,
256                'text' => true,
257                'password' => true,
258                'checkbox' => true,
259                'radio' => true,
260                'file' => true,
261                'submit' => true,
262                'image' => true,
263                'reset' => true,
264                'button' => true,
265
266                // HTML input types
267                'datetime' => true,
268                'datetime-local' => true,
269                'date' => true,
270                'month' => true,
271                'time' => true,
272                'week' => true,
273                'number' => true,
274                'range' => true,
275                'email' => true,
276                'url' => true,
277                'search' => true,
278                'tel' => true,
279                'color' => true,
280            ];
281            if ( isset( $attribs['type'] ) && !isset( $validTypes[$attribs['type']] ) ) {
282                unset( $attribs['type'] );
283            }
284        }
285
286        // According to standard the default type for <button> elements is "submit".
287        // Depending on compatibility mode IE might use "button", instead.
288        // We enforce the standard "submit".
289        if ( $element == 'button' && !isset( $attribs['type'] ) ) {
290            $attribs['type'] = 'submit';
291        }
292
293        return "<$element" . self::expandAttributes(
294            self::dropDefaults( $element, $attribs ) ) . '>';
295    }
296
297    /**
298     * Returns "</$element>"
299     *
300     * @since 1.17
301     * @param string $element Name of the element, e.g., 'a'
302     * @return string A closing tag
303     */
304    public static function closeElement( $element ) {
305        $element = strtolower( $element );
306
307        return "</$element>";
308    }
309
310    /**
311     * Given an element name and an associative array of element attributes,
312     * return an array that is functionally identical to the input array, but
313     * possibly smaller.  In particular, attributes might be stripped if they
314     * are given their default values.
315     *
316     * This method is not guaranteed to remove all redundant attributes, only
317     * some common ones and some others selected arbitrarily at random.  It
318     * only guarantees that the output array should be functionally identical
319     * to the input array (currently per the HTML 5 draft as of 2009-09-06).
320     *
321     * @param string $element Name of the element, e.g., 'a'
322     * @param array $attribs Associative array of attributes, e.g., [
323     *   'href' => 'https://www.mediawiki.org/' ].  See expandAttributes() for
324     *   further documentation.
325     * @return array An array of attributes functionally identical to $attribs
326     */
327    private static function dropDefaults( $element, array $attribs ) {
328        // Whenever altering this array, please provide a covering test case
329        // in HtmlTest::provideElementsWithAttributesHavingDefaultValues
330        static $attribDefaults = [
331            'area' => [ 'shape' => 'rect' ],
332            'button' => [
333                'formaction' => 'GET',
334                'formenctype' => 'application/x-www-form-urlencoded',
335            ],
336            'canvas' => [
337                'height' => '150',
338                'width' => '300',
339            ],
340            'form' => [
341                'action' => 'GET',
342                'autocomplete' => 'on',
343                'enctype' => 'application/x-www-form-urlencoded',
344            ],
345            'input' => [
346                'formaction' => 'GET',
347                'type' => 'text',
348            ],
349            'keygen' => [ 'keytype' => 'rsa' ],
350            'link' => [ 'media' => 'all' ],
351            'menu' => [ 'type' => 'list' ],
352            'script' => [ 'type' => 'text/javascript' ],
353            'style' => [
354                'media' => 'all',
355                'type' => 'text/css',
356            ],
357            'textarea' => [ 'wrap' => 'soft' ],
358        ];
359
360        foreach ( $attribs as $attrib => $value ) {
361            if ( $attrib === 'class' ) {
362                if ( $value === '' || $value === [] || $value === [ '' ] ) {
363                    unset( $attribs[$attrib] );
364                }
365            } elseif ( isset( $attribDefaults[$element][$attrib] ) ) {
366                if ( is_array( $value ) ) {
367                    $value = implode( ' ', $value );
368                } else {
369                    $value = strval( $value );
370                }
371                if ( $attribDefaults[$element][$attrib] == $value ) {
372                    unset( $attribs[$attrib] );
373                }
374            }
375        }
376
377        // More subtle checks
378        if ( $element === 'link'
379            && isset( $attribs['type'] ) && strval( $attribs['type'] ) == 'text/css'
380        ) {
381            unset( $attribs['type'] );
382        }
383        if ( $element === 'input' ) {
384            $type = $attribs['type'] ?? null;
385            $value = $attribs['value'] ?? null;
386            if ( $type === 'checkbox' || $type === 'radio' ) {
387                // The default value for checkboxes and radio buttons is 'on'
388                // not ''. By stripping value="" we break radio boxes that
389                // actually wants empty values.
390                if ( $value === 'on' ) {
391                    unset( $attribs['value'] );
392                }
393            } elseif ( $type === 'submit' ) {
394                // The default value for submit appears to be "Submit" but
395                // let's not bother stripping out localized text that matches
396                // that.
397            } else {
398                // The default value for nearly every other field type is ''
399                // The 'range' and 'color' types use different defaults but
400                // stripping a value="" does not hurt them.
401                if ( $value === '' ) {
402                    unset( $attribs['value'] );
403                }
404            }
405        }
406        if ( $element === 'select' && isset( $attribs['size'] ) ) {
407            $multiple = ( $attribs['multiple'] ?? false ) !== false ||
408                in_array( 'multiple', $attribs );
409            $default = $multiple ? 4 : 1;
410            if ( (int)$attribs['size'] === $default ) {
411                unset( $attribs['size'] );
412            }
413        }
414
415        return $attribs;
416    }
417
418    /**
419     * Given an associative array of element attributes, generate a string
420     * to stick after the element name in HTML output.  Like [ 'href' =>
421     * 'https://www.mediawiki.org/' ] becomes something like
422     * ' href="https://www.mediawiki.org"'.  Again, this is like
423     * Xml::expandAttributes(), but it implements some HTML-specific logic.
424     *
425     * Attributes that can contain space-separated lists ('class', 'accesskey' and 'rel') array
426     * values are allowed as well, which will automagically be normalized
427     * and converted to a space-separated string. In addition to a numerical
428     * array, the attribute value may also be an associative array. See the
429     * example below for how that works.
430     *
431     * @par Numerical array
432     * @code
433     *     Html::element( 'em', [
434     *         'class' => [ 'foo', 'bar' ]
435     *     ] );
436     *     // gives '<em class="foo bar"></em>'
437     * @endcode
438     *
439     * @par Associative array
440     * @code
441     *     Html::element( 'em', [
442     *         'class' => [ 'foo', 'bar', 'foo' => false, 'quux' => true ]
443     *     ] );
444     *     // gives '<em class="bar quux"></em>'
445     * @endcode
446     *
447     * @param array $attribs Associative array of attributes, e.g., [
448     *   'href' => 'https://www.mediawiki.org/' ].  Values will be HTML-escaped.
449     *   A value of false or null means to omit the attribute.  For boolean attributes,
450     *   you can omit the key, e.g., [ 'checked' ] instead of
451     *   [ 'checked' => 'checked' ] or such.
452     *
453     * @return string HTML fragment that goes between element name and '>'
454     *   (starting with a space if at least one attribute is output)
455     */
456    public static function expandAttributes( array $attribs ) {
457        $ret = '';
458        foreach ( $attribs as $key => $value ) {
459            // Support intuitive [ 'checked' => true/false ] form
460            if ( $value === false || $value === null ) {
461                continue;
462            }
463
464            // For boolean attributes, support [ 'foo' ] instead of
465            // requiring [ 'foo' => 'meaningless' ].
466            if ( is_int( $key ) && isset( self::$boolAttribs[strtolower( $value )] ) ) {
467                $key = $value;
468            }
469
470            // Not technically required in HTML5 but we'd like consistency
471            // and better compression anyway.
472            $key = strtolower( $key );
473
474            // https://www.w3.org/TR/html401/index/attributes.html ("space-separated")
475            // https://www.w3.org/TR/html5/index.html#attributes-1 ("space-separated")
476            $spaceSeparatedListAttributes = [
477                'class' => true, // html4, html5
478                'accesskey' => true, // as of html5, multiple space-separated values allowed
479                // html4-spec doesn't document rel= as space-separated
480                // but has been used like that and is now documented as such
481                // in the html5-spec.
482                'rel' => true,
483            ];
484
485            // Specific features for attributes that allow a list of space-separated values
486            if ( isset( $spaceSeparatedListAttributes[$key] ) ) {
487                // Apply some normalization and remove duplicates
488
489                // Convert into correct array. Array can contain space-separated
490                // values. Implode/explode to get those into the main array as well.
491                if ( is_array( $value ) ) {
492                    // If input wasn't an array, we can skip this step
493                    $arrayValue = [];
494                    foreach ( $value as $k => $v ) {
495                        if ( is_string( $v ) ) {
496                            // String values should be normal `[ 'foo' ]`
497                            // Just append them
498                            if ( !isset( $value[$v] ) ) {
499                                // As a special case don't set 'foo' if a
500                                // separate 'foo' => true/false exists in the array
501                                // keys should be authoritative
502                                foreach ( explode( ' ', $v ) as $part ) {
503                                    // Normalize spacing by fixing up cases where people used
504                                    // more than 1 space and/or a trailing/leading space
505                                    if ( $part !== '' && $part !== ' ' ) {
506                                        $arrayValue[] = $part;
507                                    }
508                                }
509                            }
510                        } elseif ( $v ) {
511                            // If the value is truthy but not a string this is likely
512                            // an [ 'foo' => true ], falsy values don't add strings
513                            $arrayValue[] = $k;
514                        }
515                    }
516                } else {
517                    $arrayValue = explode( ' ', $value );
518                    // Normalize spacing by fixing up cases where people used
519                    // more than 1 space and/or a trailing/leading space
520                    $arrayValue = array_diff( $arrayValue, [ '', ' ' ] );
521                }
522
523                // Remove duplicates and create the string
524                $value = implode( ' ', array_unique( $arrayValue ) );
525
526                // Optimization: Skip below boolAttribs check and jump straight
527                // to its `else` block. The current $spaceSeparatedListAttributes
528                // block is mutually exclusive with $boolAttribs.
529                // phpcs:ignore Generic.PHP.DiscourageGoto
530                goto not_bool; // NOSONAR
531            } elseif ( is_array( $value ) ) {
532                throw new UnexpectedValueException( "HTML attribute $key can not contain a list of values" );
533            }
534
535            if ( isset( self::$boolAttribs[$key] ) ) {
536                $ret .= " $key=\"\"";
537            } else {
538                // phpcs:ignore Generic.PHP.DiscourageGoto
539                not_bool:
540                // Inlined from Sanitizer::encodeAttribute() for improved performance
541                $encValue = htmlspecialchars( $value, ENT_QUOTES );
542                // Whitespace is normalized during attribute decoding,
543                // so if we've been passed non-spaces we must encode them
544                // ahead of time or they won't be preserved.
545                $encValue = strtr( $encValue, [
546                    "\n" => '&#10;',
547                    "\r" => '&#13;',
548                    "\t" => '&#9;',
549                ] );
550                $ret .= " $key=\"$encValue\"";
551            }
552        }
553        return $ret;
554    }
555
556    /**
557     * Output an HTML script tag with the given contents.
558     *
559     * It is unsupported for the contents to contain the sequence `<script` or `</script`
560     * (case-insensitive). This ensures the script can be terminated easily and consistently.
561     * It is the responsibility of the caller to avoid such character sequence by escaping
562     * or avoiding it. If found at run-time, the contents are replaced with a comment, and
563     * a warning is logged server-side.
564     *
565     * @param string $contents JavaScript
566     * @param string|null $nonce Unused
567     * @return string Raw HTML
568     */
569    public static function inlineScript( $contents, $nonce = null ) {
570        if ( preg_match( '/<\/?script/i', $contents ) ) {
571            wfLogWarning( __METHOD__ . ': Illegal character sequence found in inline script.' );
572            $contents = '/* ERROR: Invalid script */';
573        }
574
575        return self::rawElement( 'script', [], $contents );
576    }
577
578    /**
579     * Output a "<script>" tag linking to the given URL, e.g.,
580     * "<script src=foo.js></script>".
581     *
582     * @param string $url
583     * @param string|null $nonce Nonce for CSP header, from OutputPage->getCSP()->getNonce()
584     * @return string Raw HTML
585     */
586    public static function linkedScript( $url, $nonce = null ) {
587        $attrs = [ 'src' => $url ];
588        if ( $nonce !== null ) {
589            $attrs['nonce'] = $nonce;
590        } elseif ( ContentSecurityPolicy::isNonceRequired( MediaWikiServices::getInstance()->getMainConfig() ) ) {
591            wfWarn( "no nonce set on script. CSP will break it" );
592        }
593
594        return self::element( 'script', $attrs );
595    }
596
597    /**
598     * Output a "<style>" tag with the given contents for the given media type
599     * (if any).  TODO: do some useful escaping as well, like if $contents
600     * contains literal "</style>" (admittedly unlikely).
601     *
602     * @param string $contents CSS
603     * @param string $media A media type string, like 'screen'
604     * @param array $attribs (since 1.31) Associative array of attributes, e.g., [
605     *   'href' => 'https://www.mediawiki.org/' ]. See expandAttributes() for
606     *   further documentation.
607     * @return string Raw HTML
608     */
609    public static function inlineStyle( $contents, $media = 'all', $attribs = [] ) {
610        // Don't escape '>' since that is used
611        // as direct child selector.
612        // Remember, in css, there is no "x" for hexadecimal escapes, and
613        // the space immediately after an escape sequence is swallowed.
614        $contents = strtr( $contents, [
615            '<' => '\3C ',
616            // CDATA end tag for good measure, but the main security
617            // is from escaping the '<'.
618            ']]>' => '\5D\5D\3E '
619        ] );
620
621        if ( preg_match( '/[<&]/', $contents ) ) {
622            $contents = "/*<![CDATA[*/$contents/*]]>*/";
623        }
624
625        return self::rawElement( 'style', [
626            'media' => $media,
627        ] + $attribs, $contents );
628    }
629
630    /**
631     * Output a "<link rel=stylesheet>" linking to the given URL for the given
632     * media type (if any).
633     *
634     * @param string $url
635     * @param string $media A media type string, like 'screen'
636     * @return string Raw HTML
637     */
638    public static function linkedStyle( $url, $media = 'all' ) {
639        return self::element( 'link', [
640            'rel' => 'stylesheet',
641            'href' => $url,
642            'media' => $media,
643        ] );
644    }
645
646    /**
647     * Convenience function to produce an `<input>` element.  This supports the
648     * new HTML5 input types and attributes.
649     *
650     * @param string $name Name attribute
651     * @param string $value Value attribute
652     * @param string $type Type attribute
653     * @param array $attribs Associative array of miscellaneous extra
654     *   attributes, passed to Html::element()
655     * @return string Raw HTML
656     */
657    public static function input( $name, $value = '', $type = 'text', array $attribs = [] ) {
658        $attribs['type'] = $type;
659        $attribs['value'] = $value;
660        $attribs['name'] = $name;
661        return self::element( 'input', $attribs );
662    }
663
664    /**
665     * Convenience function to produce a checkbox (input element with type=checkbox)
666     *
667     * @param string $name Name attribute
668     * @param bool $checked Whether the checkbox is checked or not
669     * @param array $attribs Array of additional attributes
670     * @return string Raw HTML
671     */
672    public static function check( $name, $checked = false, array $attribs = [] ) {
673        if ( isset( $attribs['value'] ) ) {
674            $value = $attribs['value'];
675            unset( $attribs['value'] );
676        } else {
677            $value = 1;
678        }
679
680        if ( $checked ) {
681            $attribs[] = 'checked';
682        }
683
684        return self::input( $name, $value, 'checkbox', $attribs );
685    }
686
687    /**
688     * Return the HTML for a message box.
689     * @since 1.31
690     * @param string $html of contents of box
691     * @param string|array $className corresponding to box
692     * @param string $heading (optional)
693     * @param string $iconClassName (optional) corresponding to box icon
694     * @return string of HTML representing a box.
695     */
696    private static function messageBox( $html, $className, $heading = '', $iconClassName = '' ) {
697        if ( $heading !== '' ) {
698            $html = self::element( 'h2', [], $heading ) . $html;
699        }
700        $coreClasses = [
701            'mw-message-box',
702            'cdx-message',
703            'cdx-message--block'
704        ];
705        if ( is_array( $className ) ) {
706            $className = array_merge(
707                $coreClasses,
708                $className
709            );
710        } else {
711            $className .= ' ' . implode( ' ', $coreClasses );
712        }
713        return self::rawElement( 'div', [ 'class' => $className ],
714            self::element( 'span', [ 'class' => [
715                'cdx-message__icon',
716                $iconClassName
717            ] ] ) .
718            self::rawElement( 'div', [
719                'class' => 'cdx-message__content'
720            ], $html )
721        );
722    }
723
724    /**
725     * Return the HTML for a notice message box.
726     * @since 1.38
727     * @param string $html of contents of notice
728     * @param string|array $className corresponding to notice
729     * @param string $heading (optional)
730     * @param string|array $iconClassName (optional) corresponding to notice icon
731     * @return string of HTML representing the notice
732     */
733    public static function noticeBox( $html, $className, $heading = '', $iconClassName = '' ) {
734        return self::messageBox( $html, [
735            'mw-message-box-notice',
736            'cdx-message--notice',
737            $className
738        ], $heading, $iconClassName );
739    }
740
741    /**
742     * Return a warning box.
743     * @since 1.31
744     * @since 1.34 $className optional parameter added
745     * @param string $html of contents of box
746     * @param string $className (optional) corresponding to box
747     * @return string of HTML representing a warning box.
748     */
749    public static function warningBox( $html, $className = '' ) {
750        return self::messageBox( $html, [
751            'mw-message-box-warning',
752            'cdx-message--warning', $className ] );
753    }
754
755    /**
756     * Return an error box.
757     * @since 1.31
758     * @since 1.34 $className optional parameter added
759     * @param string $html of contents of error box
760     * @param string $heading (optional)
761     * @param string $className (optional) corresponding to box
762     * @return string of HTML representing an error box.
763     */
764    public static function errorBox( $html, $heading = '', $className = '' ) {
765        return self::messageBox( $html, [
766            'mw-message-box-error',
767            'cdx-message--error', $className ], $heading );
768    }
769
770    /**
771     * Return a success box.
772     * @since 1.31
773     * @since 1.34 $className optional parameter added
774     * @param string $html of contents of box
775     * @param string $className (optional) corresponding to box
776     * @return string of HTML representing a success box.
777     */
778    public static function successBox( $html, $className = '' ) {
779        return self::messageBox( $html, [
780            'mw-message-box-success',
781            'cdx-message--success', $className ] );
782    }
783
784    /**
785     * Convenience function to produce a radio button (input element with type=radio)
786     *
787     * @param string $name Name attribute
788     * @param bool $checked Whether the radio button is checked or not
789     * @param array $attribs Array of additional attributes
790     * @return string Raw HTML
791     */
792    public static function radio( $name, $checked = false, array $attribs = [] ) {
793        if ( isset( $attribs['value'] ) )