]> git.openstreetmap.org Git - rails.git/blobdiff - test/controllers/api/notes_controller_test.rb
Make linkify return an HTML safe result for unsafe inputs
[rails.git] / test / controllers / api / notes_controller_test.rb
index 1254c4fb5305d11076433ec535d31cabacac27ca..0e4a6f35747ee0b93a2df68a2529b7c9f85388d5 100644 (file)
@@ -3,6 +3,7 @@ require "test_helper"
 module Api
   class NotesControllerTest < ActionController::TestCase
     def setup
+      super
       # Stub nominatim response for note locations
       stub_request(:get, %r{^https://nominatim\.openstreetmap\.org/reverse\?})
         .to_return(:status => 404)
@@ -222,6 +223,8 @@ module Api
 
     def test_comment_success
       open_note_with_comment = create(:note_with_comments)
+      user = create(:user)
+      basic_authorization user.email, "test"
       assert_difference "NoteComment.count", 1 do
         assert_no_difference "ActionMailer::Base.deliveries.size" do
           perform_enqueued_jobs do
@@ -238,7 +241,7 @@ module Api
       assert_equal 2, js["properties"]["comments"].count
       assert_equal "commented", js["properties"]["comments"].last["action"]
       assert_equal "This is an additional comment", js["properties"]["comments"].last["text"]
-      assert_nil js["properties"]["comments"].last["user"]
+      assert_equal user.display_name, js["properties"]["comments"].last["user"]
 
       get :show, :params => { :id => open_note_with_comment.id, :format => "json" }
       assert_response :success
@@ -250,7 +253,7 @@ module Api
       assert_equal 2, js["properties"]["comments"].count
       assert_equal "commented", js["properties"]["comments"].last["action"]
       assert_equal "This is an additional comment", js["properties"]["comments"].last["text"]
-      assert_nil js["properties"]["comments"].last["user"]
+      assert_equal user.display_name, js["properties"]["comments"].last["user"]
 
       # Ensure that emails are sent to users
       first_user = create(:user)
@@ -261,47 +264,6 @@ module Api
         create(:note_comment, :note => note, :author => first_user)
         create(:note_comment, :note => note, :author => second_user)
       end
-      assert_difference "NoteComment.count", 1 do
-        assert_difference "ActionMailer::Base.deliveries.size", 2 do
-          perform_enqueued_jobs do
-            post :comment, :params => { :id => note_with_comments_by_users.id, :text => "This is an additional comment", :format => "json" }
-          end
-        end
-      end
-      assert_response :success
-      js = ActiveSupport::JSON.decode(@response.body)
-      assert_not_nil js
-      assert_equal "Feature", js["type"]
-      assert_equal note_with_comments_by_users.id, js["properties"]["id"]
-      assert_equal "open", js["properties"]["status"]
-      assert_equal 3, js["properties"]["comments"].count
-      assert_equal "commented", js["properties"]["comments"].last["action"]
-      assert_equal "This is an additional comment", js["properties"]["comments"].last["text"]
-      assert_nil js["properties"]["comments"].last["user"]
-
-      email = ActionMailer::Base.deliveries.find { |e| e.to.first == first_user.email }
-      assert_not_nil email
-      assert_equal 1, email.to.length
-      assert_equal "[OpenStreetMap] An anonymous user has commented on one of your notes", email.subject
-
-      email = ActionMailer::Base.deliveries.find { |e| e.to.first == second_user.email }
-      assert_not_nil email
-      assert_equal 1, email.to.length
-      assert_equal "[OpenStreetMap] An anonymous user has commented on a note you are interested in", email.subject
-
-      get :show, :params => { :id => note_with_comments_by_users.id, :format => "json" }
-      assert_response :success
-      js = ActiveSupport::JSON.decode(@response.body)
-      assert_not_nil js
-      assert_equal "Feature", js["type"]
-      assert_equal note_with_comments_by_users.id, js["properties"]["id"]
-      assert_equal "open", js["properties"]["status"]
-      assert_equal 3, js["properties"]["comments"].count
-      assert_equal "commented", js["properties"]["comments"].last["action"]
-      assert_equal "This is an additional comment", js["properties"]["comments"].last["text"]
-      assert_nil js["properties"]["comments"].last["user"]
-
-      ActionMailer::Base.deliveries.clear
 
       basic_authorization third_user.email, "test"
 
@@ -318,7 +280,7 @@ module Api
       assert_equal "Feature", js["type"]
       assert_equal note_with_comments_by_users.id, js["properties"]["id"]
       assert_equal "open", js["properties"]["status"]
-      assert_equal 4, js["properties"]["comments"].count
+      assert_equal 3, js["properties"]["comments"].count
       assert_equal "commented", js["properties"]["comments"].last["action"]
       assert_equal "This is an additional comment", js["properties"]["comments"].last["text"]
       assert_equal third_user.display_name, js["properties"]["comments"].last["user"]
@@ -341,7 +303,7 @@ module Api
       assert_equal "Feature", js["type"]
       assert_equal note_with_comments_by_users.id, js["properties"]["id"]
       assert_equal "open", js["properties"]["status"]
-      assert_equal 4, js["properties"]["comments"].count
+      assert_equal 3, js["properties"]["comments"].count
       assert_equal "commented", js["properties"]["comments"].last["action"]
       assert_equal "This is an additional comment", js["properties"]["comments"].last["text"]
       assert_equal third_user.display_name, js["properties"]["comments"].last["user"]
@@ -352,6 +314,15 @@ module Api
     def test_comment_fail
       open_note_with_comment = create(:note_with_comments)
 
+      user = create(:user)
+
+      assert_no_difference "NoteComment.count" do
+        post :comment, :params => { :text => "This is an additional comment" }
+        assert_response :unauthorized
+      end
+
+      basic_authorization user.email, "test"
+
       assert_no_difference "NoteComment.count" do
         post :comment, :params => { :text => "This is an additional comment" }
       end
@@ -508,7 +479,7 @@ module Api
 
       get :show, :params => { :id => open_note.id, :format => "xml" }
       assert_response :success
-      assert_equal "application/xml", @response.content_type
+      assert_equal "application/xml", @response.media_type
       assert_select "osm", :count => 1 do
         assert_select "note[lat='#{open_note.lat}'][lon='#{open_note.lon}']", :count => 1 do
           assert_select "id", open_note.id.to_s
@@ -525,7 +496,7 @@ module Api
 
       get :show, :params => { :id => open_note.id, :format => "rss" }
       assert_response :success
-      assert_equal "application/rss+xml", @response.content_type
+      assert_equal "application/rss+xml", @response.media_type
       assert_select "rss", :count => 1 do
         assert_select "channel", :count => 1 do
           assert_select "item", :count => 1 do
@@ -541,7 +512,7 @@ module Api
 
       get :show, :params => { :id => open_note.id, :format => "json" }
       assert_response :success
-      assert_equal "application/json", @response.content_type
+      assert_equal "application/json", @response.media_type
       js = ActiveSupport::JSON.decode(@response.body)
       assert_not_nil js
       assert_equal "Feature", js["type"]
@@ -557,7 +528,7 @@ module Api
 
       get :show, :params => { :id => open_note.id, :format => "gpx" }
       assert_response :success
-      assert_equal "application/gpx+xml", @response.content_type
+      assert_equal "application/gpx+xml", @response.media_type
       assert_select "gpx", :count => 1 do
         assert_select "wpt[lat='#{open_note.lat}'][lon='#{open_note.lon}']", :count => 1 do
           assert_select "time", :count => 1
@@ -665,7 +636,7 @@ module Api
 
       get :index, :params => { :bbox => "1,1,1.2,1.2", :format => "rss" }
       assert_response :success
-      assert_equal "application/rss+xml", @response.content_type
+      assert_equal "application/rss+xml", @response.media_type
       assert_select "rss", :count => 1 do
         assert_select "channel", :count => 1 do
           assert_select "item", :count => 2
@@ -674,7 +645,7 @@ module Api
 
       get :index, :params => { :bbox => "1,1,1.2,1.2", :format => "json" }
       assert_response :success
-      assert_equal "application/json", @response.content_type
+      assert_equal "application/json", @response.media_type
       js = ActiveSupport::JSON.decode(@response.body)
       assert_not_nil js
       assert_equal "FeatureCollection", js["type"]
@@ -682,14 +653,14 @@ module Api
 
       get :index, :params => { :bbox => "1,1,1.2,1.2", :format => "xml" }
       assert_response :success
-      assert_equal "application/xml", @response.content_type
+      assert_equal "application/xml", @response.media_type
       assert_select "osm", :count => 1 do
         assert_select "note", :count => 2
       end
 
       get :index, :params => { :bbox => "1,1,1.2,1.2", :format => "gpx" }
       assert_response :success
-      assert_equal "application/gpx+xml", @response.content_type
+      assert_equal "application/gpx+xml", @response.media_type
       assert_select "gpx", :count => 1 do
         assert_select "wpt", :count => 2
       end
@@ -702,7 +673,7 @@ module Api
 
       get :index, :params => { :bbox => "1,1,1.2,1.2", :limit => 1, :format => "rss" }
       assert_response :success
-      assert_equal "application/rss+xml", @response.content_type
+      assert_equal "application/rss+xml", @response.media_type
       assert_select "rss", :count => 1 do
         assert_select "channel", :count => 1 do
           assert_select "item", :count => 1
@@ -711,7 +682,7 @@ module Api
 
       get :index, :params => { :bbox => "1,1,1.2,1.2", :limit => 1, :format => "json" }
       assert_response :success
-      assert_equal "application/json", @response.content_type
+      assert_equal "application/json", @response.media_type
       js = ActiveSupport::JSON.decode(@response.body)
       assert_not_nil js
       assert_equal "FeatureCollection", js["type"]
@@ -719,14 +690,14 @@ module Api
 
       get :index, :params => { :bbox => "1,1,1.2,1.2", :limit => 1, :format => "xml" }
       assert_response :success
-      assert_equal "application/xml", @response.content_type
+      assert_equal "application/xml", @response.media_type
       assert_select "osm", :count => 1 do
         assert_select "note", :count => 1
       end
 
       get :index, :params => { :bbox => "1,1,1.2,1.2", :limit => 1, :format => "gpx" }
       assert_response :success
-      assert_equal "application/gpx+xml", @response.content_type
+      assert_equal "application/gpx+xml", @response.media_type
       assert_select "gpx", :count => 1 do
         assert_select "wpt", :count => 1
       end
@@ -735,7 +706,7 @@ module Api
     def test_index_empty_area
       get :index, :params => { :bbox => "5,5,5.1,5.1", :format => "rss" }
       assert_response :success
-      assert_equal "application/rss+xml", @response.content_type
+      assert_equal "application/rss+xml", @response.media_type
       assert_select "rss", :count => 1 do
         assert_select "channel", :count => 1 do
           assert_select "item", :count => 0
@@ -744,7 +715,7 @@ module Api
 
       get :index, :params => { :bbox => "5,5,5.1,5.1", :format => "json" }
       assert_response :success
-      assert_equal "application/json", @response.content_type
+      assert_equal "application/json", @response.media_type
       js = ActiveSupport::JSON.decode(@response.body)
       assert_not_nil js
       assert_equal "FeatureCollection", js["type"]
@@ -752,14 +723,14 @@ module Api
 
       get :index, :params => { :bbox => "5,5,5.1,5.1", :format => "xml" }
       assert_response :success
-      assert_equal "application/xml", @response.content_type
+      assert_equal "application/xml", @response.media_type
       assert_select "osm", :count => 1 do
         assert_select "note", :count => 0
       end
 
       get :index, :params => { :bbox => "5,5,5.1,5.1", :format => "gpx" }
       assert_response :success
-      assert_equal "application/gpx+xml", @response.content_type
+      assert_equal "application/gpx+xml", @response.media_type
       assert_select "gpx", :count => 1 do
         assert_select "wpt", :count => 0
       end
@@ -768,19 +739,19 @@ module Api
     def test_index_large_area
       get :index, :params => { :bbox => "-2.5,-2.5,2.5,2.5", :format => :json }
       assert_response :success
-      assert_equal "application/json", @response.content_type
+      assert_equal "application/json", @response.media_type
 
       get :index, :params => { :l => "-2.5", :b => "-2.5", :r => "2.5", :t => "2.5", :format => :json }
       assert_response :success
-      assert_equal "application/json", @response.content_type
+      assert_equal "application/json", @response.media_type
 
       get :index, :params => { :bbox => "-10,-10,12,12", :format => :json }
       assert_response :bad_request
-      assert_equal "application/json", @response.content_type
+      assert_equal "text/plain", @response.media_type
 
       get :index, :params => { :l => "-10", :b => "-10", :r => "12", :t => "12", :format => :json }
       assert_response :bad_request
-      assert_equal "application/json", @response.content_type
+      assert_equal "text/plain", @response.media_type
     end
 
     def test_index_closed
@@ -792,7 +763,7 @@ module Api
       # Open notes + closed in last 7 days
       get :index, :params => { :bbox => "1,1,1.7,1.7", :closed => "7", :format => "json" }
       assert_response :success
-      assert_equal "application/json", @response.content_type
+      assert_equal "application/json", @response.media_type
       js = ActiveSupport::JSON.decode(@response.body)
       assert_not_nil js
       assert_equal "FeatureCollection", js["type"]
@@ -801,7 +772,7 @@ module Api
       # Only open notes
       get :index, :params => { :bbox => "1,1,1.7,1.7", :closed => "0", :format => "json" }
       assert_response :success
-      assert_equal "application/json", @response.content_type
+      assert_equal "application/json", @response.media_type
       js = ActiveSupport::JSON.decode(@response.body)
       assert_not_nil js
       assert_equal "FeatureCollection", js["type"]
@@ -810,7 +781,7 @@ module Api
       # Open notes + all closed notes
       get :index, :params => { :bbox => "1,1,1.7,1.7", :closed => "-1", :format => "json" }
       assert_response :success
-      assert_equal "application/json", @response.content_type
+      assert_equal "application/json", @response.media_type
       js = ActiveSupport::JSON.decode(@response.body)
       assert_not_nil js
       assert_equal "FeatureCollection", js["type"]
@@ -848,14 +819,14 @@ module Api
 
       get :search, :params => { :q => "note comment", :format => "xml" }
       assert_response :success
-      assert_equal "application/xml", @response.content_type
+      assert_equal "application/xml", @response.media_type
       assert_select "osm", :count => 1 do
         assert_select "note", :count => 1
       end
 
       get :search, :params => { :q => "note comment", :format => "json" }
       assert_response :success
-      assert_equal "application/json", @response.content_type
+      assert_equal "application/json", @response.media_type
       js = ActiveSupport::JSON.decode(@response.body)
       assert_not_nil js
       assert_equal "FeatureCollection", js["type"]
@@ -863,7 +834,7 @@ module Api
 
       get :search, :params => { :q => "note comment", :format => "rss" }
       assert_response :success
-      assert_equal "application/rss+xml", @response.content_type
+      assert_equal "application/rss+xml", @response.media_type
       assert_select "rss", :count => 1 do
         assert_select "channel", :count => 1 do
           assert_select "item", :count => 1
@@ -872,7 +843,7 @@ module Api
 
       get :search, :params => { :q => "note comment", :format => "gpx" }
       assert_response :success
-      assert_equal "application/gpx+xml", @response.content_type
+      assert_equal "application/gpx+xml", @response.media_type
       assert_select "gpx", :count => 1 do
         assert_select "wpt", :count => 1
       end
@@ -887,14 +858,14 @@ module Api
 
       get :search, :params => { :display_name => user.display_name, :format => "xml" }
       assert_response :success
-      assert_equal "application/xml", @response.content_type
+      assert_equal "application/xml", @response.media_type
       assert_select "osm", :count => 1 do
         assert_select "note", :count => 1
       end
 
       get :search, :params => { :display_name => user.display_name, :format => "json" }
       assert_response :success
-      assert_equal "application/json", @response.content_type
+      assert_equal "application/json", @response.media_type
       js = ActiveSupport::JSON.decode(@response.body)
       assert_not_nil js
       assert_equal "FeatureCollection", js["type"]
@@ -902,7 +873,7 @@ module Api
 
       get :search, :params => { :display_name => user.display_name, :format => "rss" }
       assert_response :success
-      assert_equal "application/rss+xml", @response.content_type
+      assert_equal "application/rss+xml", @response.media_type
       assert_select "rss", :count => 1 do
         assert_select "channel", :count => 1 do
           assert_select "item", :count => 1
@@ -911,7 +882,7 @@ module Api
 
       get :search, :params => { :display_name => user.display_name, :format => "gpx" }
       assert_response :success
-      assert_equal "application/gpx+xml", @response.content_type
+      assert_equal "application/gpx+xml", @response.media_type
       assert_select "gpx", :count => 1 do
         assert_select "wpt", :count => 1
       end
@@ -926,14 +897,14 @@ module Api
 
       get :search, :params => { :user => user.id, :format => "xml" }
       assert_response :success
-      assert_equal "application/xml", @response.content_type
+      assert_equal "application/xml", @response.media_type
       assert_select "osm", :count => 1 do
         assert_select "note", :count => 1
       end
 
       get :search, :params => { :user => user.id, :format => "json" }
       assert_response :success
-      assert_equal "application/json", @response.content_type
+      assert_equal "application/json", @response.media_type
       js = ActiveSupport::JSON.decode(@response.body)
       assert_not_nil js
       assert_equal "FeatureCollection", js["type"]
@@ -941,7 +912,7 @@ module Api
 
       get :search, :params => { :user => user.id, :format => "rss" }
       assert_response :success
-      assert_equal "application/rss+xml", @response.content_type
+      assert_equal "application/rss+xml", @response.media_type
       assert_select "rss", :count => 1 do
         assert_select "channel", :count => 1 do
           assert_select "item", :count => 1
@@ -950,7 +921,7 @@ module Api
 
       get :search, :params => { :user => user.id, :format => "gpx" }
       assert_response :success
-      assert_equal "application/gpx+xml", @response.content_type
+      assert_equal "application/gpx+xml", @response.media_type
       assert_select "gpx", :count => 1 do
         assert_select "wpt", :count => 1
       end
@@ -961,14 +932,14 @@ module Api
 
       get :search, :params => { :q => "no match", :format => "xml" }
       assert_response :success
-      assert_equal "application/xml", @response.content_type
+      assert_equal "application/xml", @response.media_type
       assert_select "osm", :count => 1 do
         assert_select "note", :count => 0
       end
 
       get :search, :params => { :q => "no match", :format => "json" }
       assert_response :success
-      assert_equal "application/json", @response.content_type
+      assert_equal "application/json", @response.media_type
       js = ActiveSupport::JSON.decode(@response.body)
       assert_not_nil js
       assert_equal "FeatureCollection", js["type"]
@@ -976,7 +947,7 @@ module Api
 
       get :search, :params => { :q => "no match", :format => "rss" }
       assert_response :success
-      assert_equal "application/rss+xml", @response.content_type
+      assert_equal "application/rss+xml", @response.media_type
       assert_select "rss", :count => 1 do
         assert_select "channel", :count => 1 do
           assert_select "item", :count => 0
@@ -985,7 +956,7 @@ module Api
 
       get :search, :params => { :q => "no match", :format => "gpx" }
       assert_response :success
-      assert_equal "application/gpx+xml", @response.content_type
+      assert_equal "application/gpx+xml", @response.media_type
       assert_select "gpx", :count => 1 do
         assert_select "wpt", :count => 0
       end
@@ -996,14 +967,14 @@ module Api
 
       get :search, :params => { :from => "01.01.2010", :to => "01.10.2010", :format => "xml" }
       assert_response :success
-      assert_equal "application/xml", @response.content_type
+      assert_equal "application/xml", @response.media_type
       assert_select "osm", :count => 1 do
         assert_select "note", :count => 0
       end
 
       get :search, :params => { :from => "01.01.2010", :to => "01.10.2010", :format => "json" }
       assert_response :success
-      assert_equal "application/json", @response.content_type
+      assert_equal "application/json", @response.media_type
       js = ActiveSupport::JSON.decode(@response.body)
       assert_not_nil js
       assert_equal "FeatureCollection", js["type"]
@@ -1011,7 +982,7 @@ module Api
 
       get :search, :params => { :from => "01.01.2010", :to => "01.10.2010", :format => "rss" }
       assert_response :success
-      assert_equal "application/rss+xml", @response.content_type
+      assert_equal "application/rss+xml", @response.media_type
       assert_select "rss", :count => 1 do
         assert_select "channel", :count => 1 do
           assert_select "item", :count => 0
@@ -1020,7 +991,7 @@ module Api
 
       get :search, :params => { :from => "01.01.2010", :to => "01.10.2010", :format => "gpx" }
       assert_response :success
-      assert_equal "application/gpx+xml", @response.content_type
+      assert_equal "application/gpx+xml", @response.media_type
       assert_select "gpx", :count => 1 do
         assert_select "wpt", :count => 0
       end
@@ -1056,7 +1027,7 @@ module Api
 
       get :feed, :params => { :format => "rss" }
       assert_response :success
-      assert_equal "application/rss+xml", @response.content_type
+      assert_equal "application/rss+xml", @response.media_type
       assert_select "rss", :count => 1 do
         assert_select "channel", :count => 1 do
           assert_select "item", :count => 4
@@ -1065,7 +1036,7 @@ module Api
 
       get :feed, :params => { :bbox => "1,1,1.2,1.2", :format => "rss" }
       assert_response :success
-      assert_equal "application/rss+xml", @response.content_type
+      assert_equal "application/rss+xml", @response.media_type
       assert_select "rss", :count => 1 do
         assert_select "channel", :count => 1 do
           assert_select "item", :count => 2