adding missing stuff in nette/http

dg · dg · commit 243400cf80ba · 2025-12-27T19:27:50.000+01:00
diff --git a/http/cs/request.texy b/http/cs/request.texy
@@ -184,6 +184,30 @@ $body = $httpRequest->getRawBody();
 ```
 
 
+getOrigin(): ?UrlImmutable .[method]
+------------------------------------
+Vrací origin, ze kterého požadavek přišel. Origin se skládá z protokolu, hostname a portu - například `https://example.com:8080`. Vrací `null`, pokud hlavička origin není přítomna nebo je nastavena na `'null'`.
+
+```php
+$origin = $httpRequest->getOrigin();
+echo $origin; // https://example.com:8080
+echo $origin?->getHost(); // example.com
+```
+
+Prohlížeč posílá hlavičku `Origin` v následujících případech:
+- Požadavky mezi doménami (AJAX volání na jinou doménu)
+- POST, PUT, DELETE a další modifikující požadavky
+- Požadavky provedené pomocí Fetch API
+
+Prohlížeč NEPOSÍLÁ hlavičku `Origin` při:
+- Běžných GET požadavcích na stejnou doménu (navigace v rámci téže domény)
+- Přímé navigaci zadáním URL do adresního řádku
+- Požadavcích z jiných klientů než prohlížeče (pokud není ručně přidána)
+
+.[note]
+Na rozdíl od hlavičky `Referer` obsahuje `Origin` pouze schéma, host a port - nikoli celou cestu URL. To ji činí vhodnější pro bezpečnostní kontroly při zachování soukromí uživatele. Hlavička `Origin` se primárně používá pro validaci [CORS |nette:glossary#Cross-Origin Resource Sharing (CORS)] (Cross-Origin Resource Sharing).
+
+
 detectLanguage(array $langs): ?string .[method]
 -----------------------------------------------
 Detekuje jazyk. Jako parametr `$lang` předáme pole s jazyky, které aplikace podporuje, a ona vrátí ten, který by viděl návštěvníkův prohlížeč nejraději. Nejsou to žádná kouzla, jen se využívá hlavičky `Accept-Language`. Pokud nedojde k žádné shodě, vrací `null`.
@@ -389,6 +413,11 @@ getTemporaryFile(): string .[method]
 Vrací cestu k dočasné lokaci uploadovaného souboru. V případě, že upload nebyl úspěšný, vrací `''`.
 
 
+__toString(): string .[method]
+------------------------------
+Vrací cestu k dočasnému umístění nahraného souboru. To umožňuje objekt `FileUpload` použít přímo jako řetězec.
+
+
 isImage(): bool .[method]
 -------------------------
 Vrací `true`, pokud nahraný soubor je obrázek ve formátu JPEG, PNG, GIF, WebP nebo AVIF. Detekce probíhá na základě jeho signatury a neověřuje se integrita celého souboru. Zda není obrázek poškozený lze zjistit například pokusem o jeho [načtení |#toImage].
diff --git a/http/cs/response.texy b/http/cs/response.texy
@@ -34,9 +34,9 @@ isSent(): bool .[method]
 Vrací, zda už došlo k odeslání hlaviček ze serveru do prohlížeče, a tedy již není možné odesílat hlavičky či měnit stavový kód.
 
 
-setHeader(string $name, string $value) .[method]
-------------------------------------------------
-Odešle HTTP hlavičku a **přepíše** dříve odeslanou hlavičkou stejného jména.
+setHeader(string $name, ?string $value) .[method]
+-------------------------------------------------
+Odešle HTTP hlavičku a **přepíše** dříve odeslanou hlavičkou stejného jména. Pokud je `$value` `null`, bude záhlaví odstraněno.
 
 ```php
 $httpResponse->setHeader('Pragma', 'no-cache');
@@ -115,8 +115,8 @@ $httpResponse->sendAsFile('faktura.pdf');
 ```
 
 
-setCookie(string $name, string $value, $time, ?string $path=null, ?string $domain=null, ?bool $secure=null, ?bool $httpOnly=null, ?string $sameSite=null) .[method]
--------------------------------------------------------------------------------------------------------------------------------------------------------------------
+setCookie(string $name, string $value, $time, ?string $path=null, ?string $domain=null, ?bool $secure=null, ?bool $httpOnly=null, ?string $sameSite='Lax') .[method]
+--------------------------------------------------------------------------------------------------------------------------------------------------------------------
 Odešle cookie. Výchozí hodnoty parametrů:
 
 | `$path`     | `'/'`   | cookie má dosah na všechny cesty v (sub)doméně *(konfigurovatelné)*
diff --git a/http/cs/urls.texy b/http/cs/urls.texy
@@ -82,6 +82,7 @@ Můžeme pracovat i s jednotlivými query parametry pomocí:
 |---------------------------------------------------
 | `setQuery(string\|array $query)`  		| `getQueryParameters(): array`
 | `setQueryParameter(string $name, $val)`	| `getQueryParameter(string $name)`
+| `appendQuery(string|array $query)`	    |
 
 
 getDomain(int $level = 2): string .[method]
@@ -107,6 +108,11 @@ $url->isEqual('https://nette.org');
 ```
 
 
+canonicalize() .[method]
+------------------------
+Převede URL do kanonického tvaru. To zahrnuje například seřazení parametrů v query stringu podle abecedy, převod hostname na malá písmena a odstranění nadbytečných znaků.
+
+
 Url::isAbsolute(string $url): bool .[method]{data-version:3.3.2}
 ----------------------------------------------------------------
 Ověřuje, zda je URL absolutní. URL je považována za absolutní, pokud začíná schématem (např. http, https, ftp) následovaným dvojtečkou.
diff --git a/http/en/request.texy b/http/en/request.texy
@@ -184,6 +184,30 @@ $body = $httpRequest->getRawBody();
 ```
 
 
+getOrigin(): ?UrlImmutable .[method]
+------------------------------------
+Returns the origin from which the request came. An origin consists of the scheme (protocol), hostname, and port - for example, `https://example.com:8080`. Returns `null` if the origin header is not present or is set to `'null'`.
+
+```php
+$origin = $httpRequest->getOrigin();
+echo $origin; // https://example.com:8080
+echo $origin?->getHost(); // example.com
+```
+
+The browser sends the `Origin` header in the following cases:
+- Cross-origin requests (AJAX calls to a different domain)
+- POST, PUT, DELETE, and other modifying requests
+- Requests made using the Fetch API
+
+The browser does NOT send the `Origin` header for:
+- Regular GET requests to the same domain (same-origin navigation)
+- Direct navigation by typing a URL into the address bar
+- Requests from non-browser clients
+
+.[note]
+Unlike the `Referer` header, `Origin` contains only the scheme, host, and port - not the full URL path. This makes it more suitable for security checks while preserving user privacy. The `Origin` header is primarily used for [CORS |nette:glossary#Cross-Origin Resource Sharing (CORS)] (Cross-Origin Resource Sharing) validation.
+
+
 detectLanguage(array $langs): ?string .[method]
 -----------------------------------------------
 Detects the language. Pass an array of languages supported by the application as the `$langs` parameter, and it will return the one preferred by the visitor's browser. It's not magic; it just uses the `Accept-Language` header. If no match is found, it returns `null`.
@@ -389,6 +413,11 @@ getTemporaryFile(): string .[method]
 Returns the path to the temporary location of the uploaded file. If the upload was not successful, it returns `''`.
 
 
+__toString(): string .[method]
+------------------------------
+Returns the path to the temporary location of the uploaded file. This allows the `FileUpload` object to be used directly as a string.
+
+
 isImage(): bool .[method]
 -------------------------
 Returns `true` if the uploaded file is a JPEG, PNG, GIF, WebP, or AVIF image. Detection is based on its signature and does not verify the integrity of the entire file. Whether an image is corrupted can be determined, for example, by trying to [load it |#toImage].
diff --git a/http/en/response.texy b/http/en/response.texy
@@ -34,9 +34,9 @@ isSent(): bool .[method]
 Returns whether headers have already been sent from the server to the browser, meaning it is no longer possible to send headers or change the status code.
 
 
-setHeader(string $name, string $value) .[method]
-------------------------------------------------
-Sends an HTTP header and **overwrites** a previously sent header of the same name.
+setHeader(string $name, ?string $value) .[method]
+-------------------------------------------------
+Sends an HTTP header and **overwrites** a previously sent header of the same name. If `$value` is `null`, the header will be removed.
 
 ```php
 $httpResponse->setHeader('Pragma', 'no-cache');
@@ -115,8 +115,8 @@ $httpResponse->sendAsFile('invoice.pdf');
 ```
 
 
-setCookie(string $name, string $value, $time, ?string $path=null, ?string $domain=null, ?bool $secure=null, ?bool $httpOnly=null, ?string $sameSite=null) .[method]
--------------------------------------------------------------------------------------------------------------------------------------------------------------------
+setCookie(string $name, string $value, $time, ?string $path=null, ?string $domain=null, ?bool $secure=null, ?bool $httpOnly=null, ?string $sameSite='Lax') .[method]
+--------------------------------------------------------------------------------------------------------------------------------------------------------------------
 Sends a cookie. Default parameter values:
 
 | `$path`     | `'/'`   | cookie is available for all paths within the (sub)domain *(configurable)*
diff --git a/http/en/urls.texy b/http/en/urls.texy
@@ -82,6 +82,7 @@ We can also work with individual query parameters using:
 |---------------------------------------------------
 | `setQuery(string\|array $query)`  		| `getQueryParameters(): array`
 | `setQueryParameter(string $name, $val)`	| `getQueryParameter(string $name)`
+| `appendQuery(string|array $query)`	    |
 
 
 getDomain(int $level = 2): string .[method]
@@ -107,6 +108,11 @@ $url->isEqual('https://nette.org');
 ```
 
 
+canonicalize() .[method]
+------------------------
+Converts the URL to canonical form. This includes, for example, sorting the parameters in the query string alphabetically, converting the hostname to lowercase, and removing redundant characters.
+
+
 Url::isAbsolute(string $url): bool .[method]{data-version:3.3.2}
 ----------------------------------------------------------------
 Checks if a URL is absolute. A URL is considered absolute if it begins with a scheme (e.g., http, https, ftp) followed by a colon.
diff --git a/nette/cs/glossary.texy b/nette/cs/glossary.texy
@@ -36,6 +36,13 @@ Cross-Site Request Forgery (CSRF)
 Nette Framework **automaticky chrání formuláře a signály v presenterech** před tímto typem útoku. A to tím, že zabraňuje jejich odeslání či vyvolání z jiné domény.
 
 
+Cross-Origin Resource Sharing (CORS)
+------------------------------------
+CORS je bezpečnostní mechanismus, který umožňuje webové stránce provádět JavaScriptové požadavky na jinou doménu, než ze které byla stránka načtena. Bez CORS prohlížeče takové požadavky z bezpečnostních důvodů blokují.
+
+Například pokud vaše webová stránka běží na `https://myapp.com` a pokusí se pomocí JavaScriptu (AJAX, Fetch API) načíst data z `https://api.example.com`, prohlížeč ověří, zda API server tento požadavek mezi doménami povoluje. API server musí odpovědět speciálními HTTP hlavičkami, jako je `Access-Control-Allow-Origin: https://myapp.com`, aby udělil povolení.
+
+
 Dependency Injection
 --------------------
 Dependency Injection (DI) je návrhový vzor, který říká, jak oddělit vytváření objektů od jejich závislostí. Tedy že třída není zodpovědná za vytváření nebo inicializaci svých závislostí, ale místo toho jsou jí tyto závislosti poskytovány externím kódem (tím může i [DI kontejner |#Dependency Injection kontejner]). Výhoda spočívá v tom, že umožňuje větší flexibilitu kódu, lepší srozumitelnost a snazší testování aplikace, protože závislosti jsou snadno nahraditelné a izolované od ostatních částí kódu. Více v kapitole [Co je Dependency Injection? |dependency-injection:introduction]
diff --git a/nette/en/glossary.texy b/nette/en/glossary.texy
@@ -36,6 +36,13 @@ A Cross-Site Request Forgery attack involves the attacker luring a victim to a p
 Nette Framework **automatically protects forms and signals in presenters** against this type of attack by preventing them from being submitted or triggered from another domain.
 
 
+Cross-Origin Resource Sharing (CORS)
+------------------------------------
+CORS is a security mechanism that allows a web page to make JavaScript requests to a different domain than the one from which the page was loaded. Without CORS, browsers block such requests for security reasons.
+
+For example, if your website runs at `https://myapp.com` and tries to fetch data from `https://api.example.com` using JavaScript (AJAX, Fetch API), the browser will check if the API server allows this cross-origin request. The API server must respond with special HTTP headers, such as `Access-Control-Allow-Origin: https://myapp.com`, to grant permission.
+
+
 Dependency Injection
 --------------------
 Dependency Injection (DI) is a design pattern that dictates how to separate the creation of objects from their dependencies. This means a class is not responsible for creating or initializing its dependencies; instead, these dependencies are provided by external code (which could be a [DI container |#Dependency Injection Container]). The advantage lies in increased code flexibility, better understandability, and easier application testing, as dependencies are easily replaceable and isolated from other code parts. More in the chapter [What is Dependency Injection? |dependency-injection:introduction]
