Тесты: покрыть инъекцию trackerHead в ShareSeoController (+ no-op ветка аудита trackerHead) #100

New Issue

Closed

opened 2026-06-21 04:10:51 +03:00 by Ghost · 0 comments

Ghost commented 2026-06-21 04:10:51 +03:00

Copy Link

Контекст

Code review изменений по sandbox HTML-embed + админский tracker (диапазон 81823fce^..HEAD) выявил пробел в тестовом покрытии новой security-релевантной логики. Сам код корректен и проверен — это задача именно на регрессионные тесты, не на исправление поведения.

---

1. Инъекция trackerHead в ShareSeoController не покрыта тестами (основное)

apps/server/src/core/share/share-seo.controller.ts — единственное место, где админский HTML/JS-сниппет вставляется дословно (без экранирования) в <head> публичной share-страницы. Ни один спек не ссылается на ShareSeoController (grep по *.spec.ts / *.e2e-spec.ts — пусто); единственный тест с trackerHead (workspace-html-embed.spec.ts) покрывает только путь сохранения настройки, а не инъекции.

Без тестов остаются 4 ветки:

1. trackerHead задан + в шаблоне есть </head> → сниппет вставляется перед </head>.
2. trackerHead задан, но </head> в index-HTML не найден → logger.warn + пропуск (HTML без изменений).
3. trackerHead пустой / только пробелы / отсутствует → пропуск (typeof === 'string' && trim().length > 0).
4. Корректность function-replacer () => ...: именно функция-replacer защищает от того, что $&, $`, $', $$ внутри сниппета будут истолкованы String.prototype.replace как шаблоны подстановки и исказят тег. Это самый тонкий инвариант — он молча сломается, если кто-то «упростит» replacer обратно в строковый аргумент.

Предлагаемый тест

Добавить apps/server/src/core/share/share-seo.controller.spec.ts:

• застабить fs.readFileSync минимальным index-HTML с </head> и маркером мета-тегов;
• замокать shareService / workspaceRepo / environmentService;
• перехватить res.send и проверить:
  • сниппет вставлен непосредственно перед </head>, когда trackerHead задан;
  • сниппет с $& / $$ попадает в вывод дословно (этот кейс упадёт на строковом replacer'е — он и фиксирует инвариант);
  • при отсутствии </head> вызывается logger.warn, а HTML не меняется;
  • нет вставки для пустого / пробельного / undefined trackerHead.

---

2. (Минор) No-op ветка аудита trackerHead в workspace.service.ts

apps/server/src/core/workspace/services/workspace.service.ts (~528-540): при prev === trackerHead (повторное сохранение того же значения) updateSetting вызывается, но before/after.trackerHead не должны по��адать в аудит. Покрыт только путь с изменением значения; no-op-ветка не проверена (та же форма у соседнего htmlEmbed). Влияние — только шум в аудите.

Предлагаемый тест

Кейс с одинаковыми settingsBefore и входным значением: проверить, что updateSetting вызван, а изменение по trackerHead в аудит-payload не попало.

---

Источник: code-review-orchestrator, диапазон 81823fce^..HEAD.

## Контекст Code review изменений по sandbox HTML-embed + админский tracker (диапазон `81823fce^..HEAD`) выявил пробел в тестовом покрытии новой security-релевантной логики. Сам код корректен и проверен — это задача именно на **регрессионные тесты**, не на исправление поведения. --- ## 1. Инъекция `trackerHead` в `ShareSeoController` не покрыта тестами (основное) `apps/server/src/core/share/share-seo.controller.ts` — единственное место, где админский HTML/JS-сниппет вставляется **дословно (без экранирования)** в `<head>` публичной share-страницы. Ни один спек не ссылается на `ShareSeoController` (`grep` по `*.spec.ts` / `*.e2e-spec.ts` — пусто); единственный тест с `trackerHead` (`workspace-html-embed.spec.ts`) покрывает только путь *сохранения* настройки, а не *инъекции*. Без тестов остаются 4 ветки: 1. `trackerHead` задан + в шаблоне есть `</head>` → сниппет вставляется перед `</head>`. 2. `trackerHead` задан, но `</head>` в index-HTML не найден → `logger.warn` + пропуск (HTML без изменений). 3. `trackerHead` пустой / только пробелы / отсутствует → пропуск (`typeof === 'string' && trim().length > 0`). 4. **Корректность function-replacer** `() => ...`: именно функция-replacer защищает от того, что `$&`, `` $` ``, `$'`, `$$` внутри сниппета будут истолкованы `String.prototype.replace` как шаблоны подстановки и исказят тег. Это самый тонкий инвариант — он молча сломается, если кто-то «упростит» replacer обратно в строковый аргумент. ### Предлагаемый тест Добавить `apps/server/src/core/share/share-seo.controller.spec.ts`: - застабить `fs.readFileSync` минимальным index-HTML с `</head>` и маркером мета-тегов; - замокать `shareService` / `workspaceRepo` / `environmentService`; - перехватить `res.send` и проверить: - сниппет вставлен непосредственно перед `</head>`, когда `trackerHead` задан; - сниппет с `$&` / `$$` попадает в вывод **дословно** (этот кейс упадёт на строковом replacer'е — он и фиксирует инвариант); - при отсутствии `</head>` вызывается `logger.warn`, а HTML не меняется; - нет вставки для пустого / пробельного / `undefined` `trackerHead`. --- ## 2. (Минор) No-op ветка аудита `trackerHead` в `workspace.service.ts` `apps/server/src/core/workspace/services/workspace.service.ts` (~528-540): при `prev === trackerHead` (повторное сохранение того же значения) `updateSetting` вызывается, но `before/after.trackerHead` **не должны** по��адать в аудит. Покрыт только путь с изменением значения; no-op-ветка не проверена (та же форма у соседнего `htmlEmbed`). Влияние — только шум в аудите. ### Предлагаемый тест Кейс с одинаковыми `settingsBefore` и входным значением: проверить, что `updateSetting` вызван, а изменение по `trackerHead` в аудит-payload **не** попало. --- _Источник: code-review-orchestrator, диапазон `81823fce^..HEAD`._

Ghost referenced this issue 2026-06-21 04:19:31 +03:00

fix: review/red-team batch 2 — 30 issues (security, ws, page-templates, html-embed, mcp, tests, docs) #101

vvzvlad referenced this issue from a commit 2026-06-21 05:21:31 +03:00

refactor(workspace-settings): extract useWorkspaceSetting hook

Ghost referenced this issue from a commit 2026-06-21 05:49:35 +03:00

test(share): extract + cover injectTrackerHead (#100, #98)

Ghost referenced this issue from a commit 2026-06-21 05:53:55 +03:00

test(share): extract + cover injectTrackerHead (#100, #98)

Ghost referenced this issue 2026-06-21 05:53:55 +03:00

test: review-batch-2 follow-up coverage (sandbox html-embed, #101 fixes, i18n) #110

Ghost closed this issue 2026-06-21 14:10:34 +03:00

Sign in to join this conversation.

No Branch/Tag Specified

Branches Tags

main

test/244-part-b

fix/255-ws-redis-adapter-leak

feat/251-intentional-clear

fix/252-e2e-open-handles

feat/184-autonomous-agent-runs

feat/221-image-captions

feat/git-sync

refactor/193-tool-spec-registry

fix/244-dataloss-bugs

fix/embeddings-reindex-progress

develop

feature/offline-sync

feat/229-catalog-yaml

feat/243-blob-sandbox

feat/228-inline-footnotes

fix/qa-ui-bugs-216-218

feature/agent-roles-catalog

fix/share-alias-rename

fix/ai-chat-empty-render

feat/191-chat-doc-binding

feat/201-temporary-notes

feat/198-interrupt-agent

feat/ai-chat-full-history

feat/199-ai-generate-title

feat/205-share-aliases

batch/issues-189-187-170

feat/170-mcp-test-button

feat/189-context-badge

feat/198-interrupt-agent-send-now

fix/issues-190-159

fix/ai-chat-new-chat-during-stream

fix/ai-chat-stream-perf

batch/issues-2026-06-25

feat/ai-chat-persistent-history

fix/ai-chat-copy-chat-wysiwyg

fix/ai-stream-reset-resilience

fix/ai-stream-undici-timeout

fix/footnote-review-1227-followup

fix/ai-chat-token-counter-realtime

docs/manual-qa-test-plan

v0.94.1

v0.94.0

v0.93.0

Labels

Clear labels

bug

Something isn't working

documentation

Improvements or additions to documentation

duplicate

This issue or pull request already exists

enhancement

New feature or request

epic

Large multi-phase effort spanning many changes

feature

New functionality request

good first issue

Good for newcomers

help wanted

Extra attention is needed

idea

Idea / proposal for discussion

invalid

This doesn't seem right

needs-human

эскалация: нужно решение человека

question

Further information is requested

refactor

Code cleanup / refactoring

review/approved

в последнем ревью нет открытых blocking-находок

review/changes-requested

последнее ревью оставило открытые blocking-находки

review/needs

head не ревьюился (head != reviewed_head)

security

Security / hardening issue

status/blocked

ждёт зависимость blocked_by

status/done

закрыто и проверено

status/in-progress

в активной работе (мягкая заявка)

status/ready

специфицировано, не заблокировано, ждёт исполнителя

test

Test coverage / test infrastructure

wontfix

This will not be worked on

No Label

Milestone

No items

No Milestone

Projects

Clear projects

No project

Assignees

Clear assignees

agent_coder agent_reviewer vvzvlad

No Assignees

1 Participants

Notifications

Subscribe

Due Date

No due date set.

Dependencies

No dependencies set.

Reference: vvzvlad/gitmost#100