]> Sergey Matveev's repositories - public-inbox.git/blob - t/psgi_bad_mids.t
projects / public-inbox.git / blob
summary | shortlog | log | commit | commitdiff | tree
history | raw | HEAD
No ext_urls
[public-inbox.git] / t / psgi_bad_mids.t
1 #!perl -w
2 # Copyright (C) 2018-2021 all contributors <meta@public-inbox.org>
3 # License: AGPL-3.0+ <https://www.gnu.org/licenses/agpl-3.0.txt>
4 use strict;
5 use v5.10.1;
6 use PublicInbox::TestCommon;
7 use PublicInbox::Eml;
8 use PublicInbox::Config;
9 my @mods = qw(DBD::SQLite HTTP::Request::Common Plack::Test
10                 URI::Escape Plack::Builder);
11 require_git 2.6;
12 require_mods(@mods);
13 use_ok($_) for @mods;
14 use_ok 'PublicInbox::WWW';
15 my $msgs = <<'';
16 F1V5OR6NMF.3M649JTLO9IXD@tux.localdomain/hehe1"'<foo
17 F1V5NB0PTU.3U0DCVGAJ750Z@tux.localdomain"'<>/foo
18 F1V5NB0PTU.3U0DCVGAJ750Z@tux&.ampersand
19 F1V5MIHGCU.2ABINKW6WBE8N@tux.localdomain/raw
20 F1V5LF9D9C.2QT5PGXZQ050E@tux.localdomain/t.atom
21 F1V58X3CMU.2DCCVAKQZGADV@tux.localdomain/../../../../foo
22 F1TVKINT3G.2S6I36MXMHYG6@tux.localdomain" onclick="alert(1)"
23
24 my @mids = split(/\n/, $msgs);
25 my $ibx = create_inbox 'bad-mids', version => 2, indexlevel => 'basic', sub {
26         my ($im) = @_;
27         my $i = 0;
28         for my $mid (@mids) {
29                 $im->add(PublicInbox::Eml->new(<<"")) or BAIL_OUT;
30 Subject: test
31 Message-ID: <$mid>
32 From: a\@example.com
33 To: b\@example.com
34 Date: Fri, 02 Oct 1993 00:00:0$i +0000
35
36                 $i++;
37         }
38 };
39
40 my $cfgpfx = "publicinbox.bad-mids";
41 my $cfg = <<EOF;
42 $cfgpfx.address=$ibx->{-primary_address}
43 $cfgpfx.inboxdir=$ibx->{inboxdir}
44 EOF
45 my $config = PublicInbox::Config->new(\$cfg);
46 my $www = PublicInbox::WWW->new($config);
47 test_psgi(sub { $www->call(@_) }, sub {
48         my ($cb) = @_;
49         my $res = $cb->(GET('/bad-mids/'));
50         is($res->code, 200, 'got 200 OK listing');
51         my $raw = $res->content;
52         foreach my $mid (@mids) {
53                 ok(index($raw, $mid) < 0, "escaped $mid");
54         }
55
56         my (@xmids) = ($raw =~ m!\bhref="([^"]+?)/T/#u"!sg);
57         is(scalar(@xmids), scalar(@mids),
58                 'got escaped links to all messages');
59
60         @xmids = reverse @xmids;
61         my %uxs = ( gt => '>', lt => '<' );
62         foreach my $i (0..$#xmids) {
63                 my $uri = $xmids[$i];
64                 $uri =~ s/&#([0-9]+);/sprintf("%c", $1)/sge;
65                 $uri =~ s/&(lt|gt);/$uxs{$1}/sge;
66                 $res = $cb->(GET("/bad-mids/$uri/raw"));
67                 is($res->code, 200, 'got 200 OK raw message '.$uri);
68                 like($res->content, qr/Message-ID: <\Q$mids[$i]\E>/s,
69                         'retrieved correct message');
70         }
71 });
72
73 done_testing;
My patches to https://public-inbox.org/public-inbox.git