]> git.openstreetmap.org Git - rails.git/blobdiff - test/controllers/users_controller_test.rb
Fix options passed by allow_thirdparty_images
[rails.git] / test / controllers / users_controller_test.rb
index cff52cff25a24fc2ff3ccf251c3b533b6ba94ce5..7b554711f6e7dc28f52e4d695817332aba618d65 100644 (file)
@@ -47,23 +47,6 @@ class UsersControllerTest < ActionDispatch::IntegrationTest
       { :path => "/user/username", :method => :delete },
       { :controller => "users", :action => "destroy", :display_name => "username" }
     )
-
-    assert_routing(
-      { :path => "/users", :method => :get },
-      { :controller => "users", :action => "index" }
-    )
-    assert_routing(
-      { :path => "/users", :method => :post },
-      { :controller => "users", :action => "index" }
-    )
-    assert_routing(
-      { :path => "/users/status", :method => :get },
-      { :controller => "users", :action => "index", :status => "status" }
-    )
-    assert_routing(
-      { :path => "/users/status", :method => :post },
-      { :controller => "users", :action => "index", :status => "status" }
-    )
   end
 
   # The user creation page loads
@@ -74,6 +57,8 @@ class UsersControllerTest < ActionDispatch::IntegrationTest
     get user_new_path, :params => { :cookie_test => "true" }
     assert_response :success
 
+    assert_no_match(/img-src \* data:;/, @response.headers["Content-Security-Policy-Report-Only"])
+
     assert_select "html", :count => 1 do
       assert_select "head", :count => 1 do
         assert_select "title", :text => /Sign Up/, :count => 1
@@ -314,6 +299,7 @@ class UsersControllerTest < ActionDispatch::IntegrationTest
 
     get user_path(user)
     assert_response :success
+    assert_match(/img-src \* data:;/, @response.headers["Content-Security-Policy-Report-Only"])
     assert_select "div.content-heading" do
       assert_select "a[href^='/user/#{ERB::Util.u(user.display_name)}/history']", 1
       assert_select "a[href='/user/#{ERB::Util.u(user.display_name)}/traces']", 1
@@ -322,12 +308,9 @@ class UsersControllerTest < ActionDispatch::IntegrationTest
       assert_select "a[href='/user/#{ERB::Util.u(user.display_name)}/account']", 0
       assert_select "a[href='/user/#{ERB::Util.u(user.display_name)}/blocks']", 0
       assert_select "a[href='/user/#{ERB::Util.u(user.display_name)}/blocks_by']", 0
-      assert_select "a[href='/blocks/new/#{ERB::Util.u(user.display_name)}']", 0
+      assert_select "a[href='/user_blocks/new/#{ERB::Util.u(user.display_name)}']", 0
     end
 
-    # Friends shouldn't be visible as we're not logged in
-    assert_select "div#friends-container", :count => 0
-
     # Test a user who has been blocked
     blocked_user = create(:user)
     create(:user_block, :user => blocked_user)
@@ -341,7 +324,7 @@ class UsersControllerTest < ActionDispatch::IntegrationTest
       assert_select "a[href='/user/#{ERB::Util.u(blocked_user.display_name)}/account']", 0
       assert_select "a[href='/user/#{ERB::Util.u(blocked_user.display_name)}/blocks']", 1
       assert_select "a[href='/user/#{ERB::Util.u(blocked_user.display_name)}/blocks_by']", 0
-      assert_select "a[href='/blocks/new/#{ERB::Util.u(blocked_user.display_name)}']", 0
+      assert_select "a[href='/user_blocks/new/#{ERB::Util.u(blocked_user.display_name)}']", 0
     end
 
     # Test a moderator who has applied blocks
@@ -357,7 +340,7 @@ class UsersControllerTest < ActionDispatch::IntegrationTest
       assert_select "a[href='/user/#{ERB::Util.u(moderator_user.display_name)}/account']", 0
       assert_select "a[href='/user/#{ERB::Util.u(moderator_user.display_name)}/blocks']", 0
       assert_select "a[href='/user/#{ERB::Util.u(moderator_user.display_name)}/blocks_by']", 1
-      assert_select "a[href='/blocks/new/#{ERB::Util.u(moderator_user.display_name)}']", 0
+      assert_select "a[href='/user_blocks/new/#{ERB::Util.u(moderator_user.display_name)}']", 0
     end
 
     # Login as a normal user
@@ -374,7 +357,7 @@ class UsersControllerTest < ActionDispatch::IntegrationTest
       assert_select "a[href='/account/edit']", 1
       assert_select "a[href='/user/#{ERB::Util.u(user.display_name)}/blocks']", 0
       assert_select "a[href='/user/#{ERB::Util.u(user.display_name)}/blocks_by']", 0
-      assert_select "a[href='/blocks/new/#{ERB::Util.u(user.display_name)}']", 0
+      assert_select "a[href='/user_blocks/new/#{ERB::Util.u(user.display_name)}']", 0
       assert_select "a[href='/api/0.6/user/#{ERB::Util.u(user.id)}']", 0
     end
 
@@ -392,7 +375,7 @@ class UsersControllerTest < ActionDispatch::IntegrationTest
       assert_select "a[href='/account/edit']", 0
       assert_select "a[href='/user/#{ERB::Util.u(user.display_name)}/blocks']", 0
       assert_select "a[href='/user/#{ERB::Util.u(user.display_name)}/blocks_by']", 0
-      assert_select "a[href='/blocks/new/#{ERB::Util.u(user.display_name)}']", 1
+      assert_select "a[href='/user_blocks/new/#{ERB::Util.u(user.display_name)}']", 1
       assert_select "a[href='/api/0.6/user/#{ERB::Util.u(user.id)}']", 1
     end
   end
@@ -474,204 +457,6 @@ class UsersControllerTest < ActionDispatch::IntegrationTest
     assert_equal "deleted", user.status
   end
 
-  def test_index_get
-    user = create(:user)
-    moderator_user = create(:moderator_user)
-    administrator_user = create(:administrator_user)
-    _suspended_user = create(:user, :suspended)
-    _ip_user = create(:user, :creation_ip => "1.2.3.4")
-
-    # There are now 7 users - the five above, plus two extra "granters" for the
-    # moderator_user and administrator_user
-    assert_equal 7, User.count
-
-    # Shouldn't work when not logged in
-    get users_path
-    assert_redirected_to login_path(:referer => users_path)
-
-    session_for(user)
-
-    # Shouldn't work when logged in as a normal user
-    get users_path
-    assert_redirected_to :controller => :errors, :action => :forbidden
-
-    session_for(moderator_user)
-
-    # Shouldn't work when logged in as a moderator
-    get users_path
-    assert_redirected_to :controller => :errors, :action => :forbidden
-
-    session_for(administrator_user)
-
-    # Note there is a header row, so all row counts are users + 1
-    # Should work when logged in as an administrator
-    get users_path
-    assert_response :success
-    assert_template :index
-    assert_select "table#user_list tbody tr", :count => 7
-
-    # Should be able to limit by status
-    get users_path, :params => { :status => "suspended" }
-    assert_response :success
-    assert_template :index
-    assert_select "table#user_list tbody tr", :count => 1
-
-    # Should be able to limit by IP address
-    get users_path, :params => { :ip => "1.2.3.4" }
-    assert_response :success
-    assert_template :index
-    assert_select "table#user_list tbody tr", :count => 1
-  end
-
-  def test_index_get_paginated
-    1.upto(100).each do |n|
-      User.create(:display_name => "extra_#{n}",
-                  :email => "extra#{n}@example.com",
-                  :pass_crypt => "extraextra")
-    end
-
-    session_for(create(:administrator_user))
-
-    # 100 examples, an administrator, and a granter for the admin.
-    assert_equal 102, User.count
-    next_path = users_path
-
-    get next_path
-    assert_response :success
-    assert_template :index
-    assert_select "table#user_list tbody tr", :count => 50
-    check_no_page_link "Newer Users"
-    next_path = check_page_link "Older Users"
-
-    get next_path
-    assert_response :success
-    assert_template :index
-    assert_select "table#user_list tbody tr", :count => 50
-    check_page_link "Newer Users"
-    next_path = check_page_link "Older Users"
-
-    get next_path
-    assert_response :success
-    assert_template :index
-    assert_select "table#user_list tbody tr", :count => 2
-    check_page_link "Newer Users"
-    check_no_page_link "Older Users"
-  end
-
-  def test_index_get_invalid_paginated
-    session_for(create(:administrator_user))
-
-    %w[-1 0 fred].each do |id|
-      get users_path(:before => id)
-      assert_redirected_to :controller => :errors, :action => :bad_request
-
-      get users_path(:after => id)
-      assert_redirected_to :controller => :errors, :action => :bad_request
-    end
-  end
-
-  private
-
-  def check_no_page_link(name)
-    assert_select "a.page-link", { :text => /#{Regexp.quote(name)}/, :count => 0 }, "unexpected #{name} page link"
-  end
-
-  def check_page_link(name)
-    assert_select "a.page-link", { :text => /#{Regexp.quote(name)}/ }, "missing #{name} page link" do |buttons|
-      return buttons.first.attributes["href"].value
-    end
-  end
-
-  public
-
-  def test_index_post_confirm
-    inactive_user = create(:user, :pending)
-    suspended_user = create(:user, :suspended)
-
-    # Shouldn't work when not logged in
-    assert_no_difference "User.active.count" do
-      post users_path, :params => { :confirm => 1, :user => { inactive_user.id => 1, suspended_user.id => 1 } }
-    end
-    assert_response :forbidden
-
-    assert_equal "pending", inactive_user.reload.status
-    assert_equal "suspended", suspended_user.reload.status
-
-    session_for(create(:user))
-
-    # Shouldn't work when logged in as a normal user
-    assert_no_difference "User.active.count" do
-      post users_path, :params => { :confirm => 1, :user => { inactive_user.id => 1, suspended_user.id => 1 } }
-    end
-    assert_redirected_to :controller => :errors, :action => :forbidden
-    assert_equal "pending", inactive_user.reload.status
-    assert_equal "suspended", suspended_user.reload.status
-
-    session_for(create(:moderator_user))
-
-    # Shouldn't work when logged in as a moderator
-    assert_no_difference "User.active.count" do
-      post users_path, :params => { :confirm => 1, :user => { inactive_user.id => 1, suspended_user.id => 1 } }
-    end
-    assert_redirected_to :controller => :errors, :action => :forbidden
-    assert_equal "pending", inactive_user.reload.status
-    assert_equal "suspended", suspended_user.reload.status
-
-    session_for(create(:administrator_user))
-
-    # Should work when logged in as an administrator
-    assert_difference "User.active.count", 2 do
-      post users_path, :params => { :confirm => 1, :user => { inactive_user.id => 1, suspended_user.id => 1 } }
-    end
-    assert_redirected_to :action => :index
-    assert_equal "confirmed", inactive_user.reload.status
-    assert_equal "confirmed", suspended_user.reload.status
-  end
-
-  def test_index_post_hide
-    normal_user = create(:user)
-    confirmed_user = create(:user, :confirmed)
-
-    # Shouldn't work when not logged in
-    assert_no_difference "User.active.count" do
-      post users_path, :params => { :hide => 1, :user => { normal_user.id => 1, confirmed_user.id => 1 } }
-    end
-    assert_response :forbidden
-
-    assert_equal "active", normal_user.reload.status
-    assert_equal "confirmed", confirmed_user.reload.status
-
-    session_for(create(:user))
-
-    # Shouldn't work when logged in as a normal user
-    assert_no_difference "User.active.count" do
-      post users_path, :params => { :hide => 1, :user => { normal_user.id => 1, confirmed_user.id => 1 } }
-    end
-    assert_redirected_to :controller => :errors, :action => :forbidden
-    assert_equal "active", normal_user.reload.status
-    assert_equal "confirmed", confirmed_user.reload.status
-
-    session_for(create(:moderator_user))
-
-    # Shouldn't work when logged in as a moderator
-    assert_no_difference "User.active.count" do
-      post users_path, :params => { :hide => 1, :user => { normal_user.id => 1, confirmed_user.id => 1 } }
-    end
-    assert_redirected_to :controller => :errors, :action => :forbidden
-    assert_equal "active", normal_user.reload.status
-    assert_equal "confirmed", confirmed_user.reload.status
-
-    session_for(create(:administrator_user))
-
-    # Should work when logged in as an administrator
-    assert_difference "User.active.count", -2 do
-      post users_path, :params => { :hide => 1, :user => { normal_user.id => 1, confirmed_user.id => 1 } }
-    end
-    assert_redirected_to :action => :index
-    assert_equal "deleted", normal_user.reload.status
-    assert_equal "deleted", confirmed_user.reload.status
-  end
-
   def test_auth_failure_callback
     get auth_failure_path
     assert_redirected_to login_path