Context Navigation

← Previous Change
Next Change →

Changeset 60 in code for trunk/morty_test.go

Timestamp:

Dec 1, 2016, 12:45:38 PM (9 years ago)

Author:

alex

Message:

[enh] ignore all special characters in the URI protocol (example : jav	ascript:alert('XSS'))

File:

: 1 edited

trunk/morty_test.go (modified) (3 diffs)

Legend:

: Unmodified
: Added
: Removed

trunk/morty_test.go

-              r55
+              r60
+}
+type SanitizeURITestCase struct {
+        Input          []byte
+        ExpectedOutput []byte
+        ExpectedScheme string
+}
 type StringTestCase struct {
         Input          string
 …
                 []byte("console.log(document.cookies)"),
                 nil,
+        },
+}
+var sanitizeUriTestData []*SanitizeURITestCase = []*SanitizeURITestCase{
+        &SanitizeURITestCase{
+                []byte("http://example.com/"),
+                []byte("http://example.com/"),
+                "http:",
+        },
+        &SanitizeURITestCase{
+                []byte("HtTPs://example.com/     \t"),
+                []byte("https://example.com/"),
+                "https:",
+        },
+        &SanitizeURITestCase{
+                []byte("      Ht  TPs://example.com/     \t"),
+                []byte("https://example.com/"),
+                "https:",
+        },
+        &SanitizeURITestCase{
+                []byte("javascript:void(0)"),
+                []byte("javascript:void(0)"),
+                "javascript:",
+        },
+        &SanitizeURITestCase{
+                []byte("      /path/to/a/file/without/protocol     "),
+                []byte("/path/to/a/file/without/protocol"),
+                "",
+        },
+        &SanitizeURITestCase{
+                []byte("      #fragment     "),
+                []byte("#fragment"),
+                "",
+        },
+        &SanitizeURITestCase{
+                []byte("      qwertyuiop     "),
+                []byte("qwertyuiop"),
+                "",
+        },
+        &SanitizeURITestCase{
+                []byte(""),
+                []byte(""),
+                "",
+        },
+        &SanitizeURITestCase{
+                []byte(":"),
+                []byte(":"),
+                ":",
+        },
+        &SanitizeURITestCase{
+                []byte("   :"),
+                []byte(":"),
+                ":",
+        },
+        &SanitizeURITestCase{
+                []byte("schéma:"),
+                []byte("schéma:"),
+                "schéma:",
         },
+}
 …
+}
+func TestSanitizeURI(t *testing.T) {
+        for _, testCase := range sanitizeUriTestData {
+                newUrl, scheme := sanitizeURI(testCase.Input)
+                if !bytes.Equal(newUrl, testCase.ExpectedOutput) {
+                        t.Errorf(
+                                `URL proxifier error. Expected: "%s", Got: "%s"`,
+                                testCase.ExpectedOutput,
+                                newUrl,
+                        )
+                }
+                if scheme != testCase.ExpectedScheme {
+                        t.Errorf(
+                                `URL proxifier error. Expected: "%s", Got: "%s"`,
+                                testCase.ExpectedScheme,
+                                scheme,
+                        )
+                }
+        }
+}
 func TestURLProxifier(t *testing.T) {
         u, _ := url.Parse("http://127.0.0.1/")
         rc := &RequestConfig{BaseURL: u}
         for _, testCase := range urlTestData {
                 newUrl, err := rc.ProxifyURI(testCase.Input)
+                newUrl, err := rc.ProxifyURI([]byte(testCase.Input))
                 if err != nil {
                         t.Errorf("Failed to parse URL: %s", testCase.Input)

Note: See TracChangeset for help on using the changeset viewer.

Context Navigation

Changeset 60 in code for trunk/morty_test.go

Legend:

trunk/morty_test.go

Download in other formats: