gitmost/docs/test-strategy-report.md

Отчёт по тест-стратегии — gitmost — 2026-06-21

Область анализа сознательно ограничена коммитом 81823fce «feat(html-embed): sandbox the embed block; split trusted trackers into an admin field». Это security-рефактор: html-embed переведён в песочницу (iframe sandbox="allow-scripts allow-popups allow-forms", opaque-origin, srcdoc), вся прежняя ролевая обвязка стрипа удалена, добавлено admin-only поле settings.trackerHead (инъекция в <head> только страниц публичного шаринга). Стратегия покрывает поведения, которые этот коммит ввёл/изменил.

1. Исполнительное резюме

• Проанализировано модулей: 8 (по одному module-testability-analyst на модуль).
• Предложено тестов в немедленный план (unit / integration / e2e / contract): 13 / 4 / 1 / 1 = 19.
• Отложено за рефакторингом или признано опциональными: ≈8 (см. §5–6).
• Отклонено как малоценные (wiring/тривиальное/уже покрыто): ≈12 (агрегировано в «НЕ тестировать»).
• Покрытие сейчас (проверено инструментом, см. §7): из ~10 security-значимых поведений коммита покрыто 4, не покрыто 6. Прогноз после внедрения плана: 10 из 10.

Главный вывод: «чистое ядро» (prosemirror-утилиты стрипа) покрыто на 100 %, но все новые security-поверхности коммита не покрыты вовсе: инъекция trackerHead в <head> (0 %), валидация DTO (0 %), клиентские sandbox-атрибуты / валидация postMessage / клэмп высоты (0 %), гейтинг slash-меню (0 %), атрибут height в схеме узла (0 %), CASL-гейт на запись trackerHead (0 %).

2. Рекомендации по модулям

M1. client-html-embed-rendering (apps/client/.../editor/components/html-embed/ + slash-menu/)

Самая важная клиентская логика — атрибуты sandbox, валидация источника postMessage и клэмп высоты — живёт внутри React-компонента html-embed-view.tsx как JSX-литерал и inline-замыкания, поэтому юнит-нетестируема.

• Извлечь в чистые функции (R-c1/R-c2/R-c3): html-embed-view.tsx:149-157 → buildEmbedIframeProps(); :74-83 → isTrustedHeightMessage(event, src); :80-82 и :88-91 (дублируется) → clampIframeHeight(n).
• Unit-тесты добавить:
  • isTrustedHeightMessage — сообщение из чужого window (спуф) отвергается; верный source+неверный type → null; height = NaN/Infinity → null; клэмп границ. Ловит: инъекцию resize-сообщений. [HIGH]
  • buildEmbedIframeProps — sandbox ровно allow-scripts allow-popups allow-forms; нет allow-same-origin; задан srcDoc, src отсутствует. Ловит: ослабление песочницы → выход в origin/XSS. [HIGH]
  • getSuggestionItems (menu-items.ts:815) — пункт «HTML embed» виден при тоггле ON, скрыт при OFF/отсутствии ключа (default OFF), битый JSON в localStorage → пункт скрыт и без исключения. Ловит: показ пункта при выключенной фиче. [HIGH] (рефактор не нужен)
  • clampIframeHeight — границы [40, 4000], отрицательные/0 → MIN. Ловит: DoS-раздувание layout. [MED]
• НЕ тестировать: модалка/draft-стейт/плейсхолдеры HtmlEmbedView (UI-обвязка, политика уже в чистых хелперах); slash-menu/types.ts (только типы); buildSandboxSrcdoc-строка уже покрыта (render-raw-html.test.ts).

M2. editor-ext-html-embed-schema (packages/editor-ext/src/lib/html-embed/)

• Извлечь (R-e1): html-embed.ts:96-104 → parseHtmlEmbedHeight / renderHtmlEmbedHeight (по образцу уже вынесенного encode/decodeHtmlEmbedSource).
• Unit-тесты добавить:
  • parseHtmlEmbedHeight — «120»→120, отсутствует→null, «abc»→NaN (ДЕФЕКТ, см. §4), «120px»→120. [MED]
  • renderHtmlEmbedHeight — 120→{data-height:"120"}, null→{}, 0→{}, NaN→{}. [MED]
  • round-trip render→parse — 120↔120, 0→null (lossy), NaN→null — фиксирует асимметрию. [MED]
• Contract-тест добавить: markdown export/import узла с data-height — явно зафиксировать, что height теряется (маркер несёт только base64-source). Ловит: молчаливую потерю/непреднамеренное появление. [MED]
• НЕ тестировать: parseHTML-селектор, renderHTML-mergeAttributes, addCommands/addNodeView (wiring); base64-кодек source — уже полностью покрыт (html-embed-codec.spec.ts).

M3. client-workspace-settings-ui (apps/client/.../workspace/.../settings/)

Реальная граница безопасности — на сервере; здесь тесты ловят UX-регрессии видимости, а не сам бордер. Конвенция проекта (см. ai-provider-settings.spec.tsx) — выносить логику в чистые хелперы и юнит-тестировать их.

• Извлечь (R-cs1/R-cs2): мерж-логику applyHtmlEmbedToWorkspace / applyTrackerHeadToWorkspace (force-set значения даже если ответ его опускает; сохранение пустой строки; не затирать прочие settings-ключи).
• Unit-тесты добавить: мерж обоих хелперов (ключ, пустая строка, сохранность соседних ключей). [MED]
• Component/Integration-тест добавить: TrackerSettings для не-админа — textarea и Save кнопка disabled (поле остаётся в DOM by design — проверять disabled, не отсутствие). Ловит: редактируемость trackerHead не-админом (UX-утечка привилегии). [MED]
• НЕ тестировать: WorkspaceSettings-страница (рендерит карточки по порядку, ветвлений нет); типы IWorkspace*; точные строки локализации (тавтологичный snapshot); виджеты Mantine (сторонние).

M4. server-prosemirror-html-embed-util (apps/server/src/common/helpers/prosemirror/html-embed.util.ts)

Чистые функции над PM-деревом — идеальный unit-уровень. Покрытие 100 % (проверено), но есть узкие edge-пробелы в существующих спеках.

• Unit-тесты добавить:
  • stripHtmlEmbedNodes — несколько embed-сиблингов на одном уровне и в разных ветвях; deep-clone vs shared reference (вложенный сохранённый узел — новый объект); content не-массив / пустой []. [MED]
  • hasHtmlEmbedNode — embed только в глубоком потомке (3+ уровня); content: []. [MED]
• НЕ тестировать: HTML_EMBED_NODE_NAME (константа); привязка тоггл→стрип на share-пути (уже покрыто на уровне реального консьюмера в share-html-embed.spec.ts); base64-кодек (это @docmost/editor-ext).
• Открытый риск: prepareContentForShare вызывает getProsemirrorContent() перед стрипом; если оттуда приходит инстанс PM-Node (класс), а не POJO, то { ...node } (line 39) теряет прототип/методы. Спеки гоняют только POJO — контракт на границе не проверен.

M5. server-collab-import-write-paths (collaboration + import)

Коммит удалил ролевой стрип на путях записи (collab REST/MCP+socket, импорт). Новое поведение — сквозной pass-through: html-embed сохраняется. Это уже покрыто ниже по пирамиде (html-embed-import-detect.spec.ts гоняет реальный markdownToHtml→htmlToJson).

• Новых html-embed-тестов не требуется — поведение «стрип отсутствует» = pass-through, уже зафиксировано.
• Опционально (вне scope коммита): extractTitleAndRemoveHeading (import.service.ts:161) — единственная ветвящаяся чистая логика модуля, не покрыта; требует R-i1 (вынос в leaf-модуль, т.к. сервис не грузится в jest — см. §5). [LOW]
• НЕ тестировать: конструкторы/DI, onLoadDocument/onStoreDocument (hocuspocus/yjs/BullMQ/Kysely-обвязка), updatePageContent/withYdocConnection (pass-through), очередь импорта (FS/DB-wiring).
• Грепы dangling-ссылок: htmlEmbedAllowed, canAuthorHtmlEmbed, stripDisallowedHtmlEmbedNodes, collectHtmlEmbedSources → 0 ссылок в apps//packages/. DI согласован, битых инъекций нет.

M6. server-page-transclusion (page.service.ts, page.controller.ts, transclusion.service.ts)

Удалён параметр callerRole у PageService.create и стрип у create/duplicate/unsync.

• Integration-тесты добавить (мок-репозитории):
  • unsyncReference сохраняет htmlEmbed (замена удалённого transclusion-unsync-html-embed.spec.ts, инвертированная на «сохраняет»). Ловит: повторное появление стрипа. [MED] (рефактор не нужен)
• Отложены за рефакторингом (НЕ обещать без него): create/duplicatePage сохраняют htmlEmbed (нужен R-p1 — сервис не грузится в jest); контракт page.controller→create ровно с 4 аргументами (нужен R-p2 — снять спек из exclude-листа). Контрактный тест критичен: оба удалённый callerRole и provenance были трейлинг- опциональными → устаревший вызов с user.role сдвинул бы аргумент в слот provenance (тихий баг).
• НЕ тестировать: DB-оркестрацию create/duplicate (insertPage/insertMany/позиции/вотчеры), удаление WorkspaceRepo из конструктора (деталь реализации), parseProsemirrorContent (не менялся).
• Греп callerRole: в активном дереве 0 ссылок (совпадения только в отдельном git-worktree).

M7. server-share-trackerhead (share-seo.controller.ts, share.service.ts) — SECURITY-CRITICAL

• Извлечь (R-s1): share-seo.controller.ts:97-103 → injectTrackerHead(html, trackerHead): string (verbatim-конкатенация + guard на пустое/whitespace/не-строку + позиция перед </head>).
• Unit-тесты добавить: injectTrackerHead — непустой сниппет вставлен дословно перед </head>; спецсимволы < > & " не экранируются (фиксирует намеренный no-escape); пустая/whitespace/не-строка → html без изменений; позиция — только перед первым </head>, не в <body>. Ловит: потерю инъекции, вставку не туда (XSS-позиционирование), случайное экранирование, [object Object]. [HIGH]
• Integration-тесты добавить (контроллер с моками; застабить fs.existsSync→true, fs.readFileSync→фикстура):
  • сниппет присутствует → есть в <head>; пустой → разметка не ломается;
  • нет share → инъекции НЕ происходит (даже если у workspace настроен trackerHead) — ключевой негатив;
  • нет workspace → инъекции НЕ происходит; wrong-workspace → getShareForPage отбрасывает чужой share. [HIGH]
• Уже покрыто: стрип на share-read-пути (share-html-embed.spec.ts:77-262: ON/OFF/absent/fail-closed, updatePublicAttachments, transclusion-for-share). trackerHead-инъекция — 0 % (проверено).
• НЕ тестировать: sendIndex/резолв workspace по host (wiring), сборку meta-тегов (не менялась), CASL-гейт записи (другой модуль — M8).

M8. server-workspace-settings (workspace.service.ts, dto/update-workspace.dto.ts)

Единственный admin-гейт trackerHead — на контроллере (workspace.controller.ts:90-95, ability.cannot(Manage, Settings)); ни DTO, ни сервис не ролевые.

• Unit-тесты добавить (class-validator):
  • trackerHead — валидная строка ок; ровно 20000 символов ок; 20001 → ошибка maxLength; не-строка → isString. [HIGH]
  • htmlEmbed — true/false ок; не-boolean ("true", 1) → isBoolean (важно: глобальный pipe transform:true не коэрсит строку — проверить, что "true" отвергается). [HIGH]
• Integration-тест добавить: WorkspaceController.updateWorkspace с ability роли MEMBER → ForbiddenException, workspaceService.update не вызывается; OWNER/ADMIN → вызывается. Ловит: запись trackerHead не-админом. [HIGH]
• Уже покрыто: call-shape персиста настроек (workspace-html-embed.spec.ts: htmlEmbed/trackerHead через updateSetting, audit-diff, «отсутствует → не вызывается»). Но валидация там обойдена as any — это не покрытие валидации.
• НЕ тестировать: соседние поля DTO (не менялись), SQL-тело updateSetting (kysely/PG — нужен реальный Postgres, отложено), delete dto.trackerHead-чистку (деталь), декларации CASL-фабрики (wiring).

3. Сквозные аспекты

• Contract-тесты: один — markdown round-trip узла html-embed теряет height (M2). Кросс-сервисных контрактов нет.
• Property-based: кандидат — stripHtmlEmbedNodes (инвариант: в результате нет узлов htmlEmbed при любой форме дерева; вход не мутируется). Реализуемо после того, как edge-кейсы из M4 пройдут.
• Дымовой/нагрузочный: не применимо к scope коммита.
• Test-data factories: фабрика PM-дока с произвольно вложенными htmlEmbed (для M4/M6); фикстура index.html с маркерами <!--meta-tags-->/</head> (для M7); билдер UpdateWorkspaceDto-payload (для M8).

4. Обнаруженные дефекты и антипаттерны

• [ДЕФЕКТ, low-med] html-embed.ts:98-100 парсит data-height голым parseInt → на мусоре возвращает NaN (соседний drawio.ts:105-109 защищён isNaN(...)?null). NaN-высота утекает в PM-JSON и ломает resize в NodeView. Рекомендация: добавить тот же guard isNaN; тест M2 фиксирует исправление.
• [Антипаттерн] Тесты-заглушки, исключённые из CI. page.service.spec.ts, page.controller.spec.ts, workspace.service.spec.ts — в jest.testPathIgnorePatterns (не запускаются) и содержат лишь expect(...).toBeDefined(). Создают ложное ощущение покрытия create/duplicate/controller — фактически 0 %.
• [Антипаттерн] Обход валидации. workspace-html-embed.spec.ts зовёт service.update('w1', {...} as any), минуя DTO/ValidationPipe — «безопасность trackerHead» там не проверяется.
• [Блокер тестируемости] Сервисы не грузятся в jest. PageService/ImportService тянут ESM-зависимость @sindresorhus/slugify, не входящую в transformIgnorePatterns (apps/server/package.json:208) — поэтому удалённые спеки использовали source-pin. Блокирует integration-тесты путей записи (см. рефакторинги).
• [Риск] Param-shift после удаления callerRole (M6) — не покрыт.
• [Риск] PM-Node vs POJO на входе stripHtmlEmbedNodes (M4) — не покрыт.
• Order-dependent / flaky тестов в scope не обнаружено; существующие спеки детерминированы.

5. Необходимые рефакторинги перед написанием тестов

• R-s1 — вынести injectTrackerHead из share-seo.controller.ts:97-103 → блокирует unit-тесты M7 (HIGH).
• R-c1/R-c2/R-c3 — вынести buildEmbedIframeProps / isTrustedHeightMessage / clampIframeHeight из html-embed-view.tsx → блокирует unit-тесты M1 (sandbox, source-validation, clamp; HIGH).
• R-e1 — вынести parse/renderHtmlEmbedHeight из html-embed.ts:96-104 → блокирует unit-тесты M2.
• R-cs1/R-cs2 — вынести мерж-хелперы настроек (M3) → блокирует unit-тесты мержа.
• R-p1 — сделать PageService загружаемым в jest (добавить @sindresorhus/slugify в transformIgnorePatterns или вынести вывод контента в чистый модуль) → блокирует create/duplicatePage-тесты (M6).
• R-p2 — снять page.controller.spec.ts/page.service.spec.ts из exclude-листа и переписать → блокирует контракт-тест 4 аргументов (M6).
• R-i1 (опц.) — вынести extractTitleAndRemoveHeading в leaf-модуль (M5).

6. План внедрения (по фазам)

• Фаза 1 — security-граница, без рефакторинга (макс. ROI). Integration ShareSeoController.getShare (M7, incl. негативы no-share/no-workspace); integration CASL-гейт MEMBER→Forbidden (M8); unit-валидация DTO trackerHead/htmlEmbed (M8); unit getSuggestionItems-гейтинг (M1); unit edge-кейсы stripHtmlEmbedNodes/hasHtmlEmbedNode (M4); integration unsyncReference сохраняет embed (M6).
• Фаза 2 — извлечения + клиентское ядро. R-s1/R-c1..3/R-e1/R-cs1..2 и их unit-тесты: injectTrackerHead, isTrustedHeightMessage, buildEmbedIframeProps, clampIframeHeight, parse/renderHtmlEmbedHeight + round-trip, contract-тест потери height, мерж-хелперы и component-тест TrackerSettings (не-админ disabled). Здесь же — исправить NaN-парсер высоты (§4).
• Фаза 3 — инфраструктура тестов. R-p1/R-p2: разблокировать загрузку PageService в jest и un-exclude спеков; добавить create/duplicatePage-preservation и контракт 4 аргументов; завести @vitest/coverage-v8 для измеримого порога покрытия. Опционально — E2E (Playwright).
• E2E (≤1, user journey «анонимный читатель открывает публичную страницу с вредоносным html-embed»): проверить, что встроенный iframe в реальном браузере не достаёт cookies/сессию/origin читателя — единственная гарантия, которую jsdom проверить не может (атрибут sandbox в jsdom не enforce-ится).

7. Источники и трассировка фильтров

• Отчёты 8 аналитиков module-testability-analyst (по модулю M1–M8).
• Независимая проверка покрытия (не доверяя заявлениям аналитиков):
  • server jest, провайдер V8 (дефолтный babel-провайдер падает на SWC-трансформе): html-embed.util.ts 100/100/100/100; share-seo.controller.ts 0 %; update-workspace.dto.ts 0 %; share.service.ts — путь стрипа покрыт; workspace.service.ts — ветка персиста настроек покрыта. Прогон спеков html-embed/share/workspace — зелёные (4 suite / 35 тестов; полный прогон 42 suite / 567 тестов).
  • client/editor-ext vitest — зелёные (client 22, editor-ext 25); @vitest/coverage-v8 не установлен, поэтому пробелы подтверждены grep'ом по тестам: sandbox/postMessage/clamp, html-embed-view, гейтинг slash-меню, trackerHead-UI, data-height — нулевые ссылки в тестах.
• Фильтрация (по шагам Phase 3):
  • Шаг 1 (кросс-модульный дедуп): импорт-preservation (M5) и привязка тоггл→стрип сведены к нижнему слою — снято ~2.
  • Шаг 2 (skip-list): wiring/DI/тривиальное/сторонние агрегированы в «НЕ тестировать» — отклонено ~12.
  • Шаг 4 (refactor-blocking): create/duplicate/контракт-4-арг (M6) переведены в отложенные за R-p1/R-p2.
  • Шаг 6 (adversarial): отброшены buildSandboxSrcdoc-hardening (дублирует существующий тест) и extractTitleAndRemoveHeading (вне scope коммита).
• Бюджет пирамиды (немедленный план, 19 тестов): unit+contract 14 (74 %), integration 4 (21 %), e2e 1 (5 %; абсолют ≤10). Лёгкое смещение к integration оправдано: ценность security-рефактора — на границе (CASL-гейт, инъекция в <head>, сохранность на путях записи), что по природе integration-уровень.