tests/include/utils/XssTest.php

   1 <?php
   2 /*********************************************************************************
   3  * SugarCRM Community Edition is a customer relationship management program developed by
   4  * SugarCRM, Inc. Copyright (C) 2004-2011 SugarCRM Inc.
   5  *
   6  * This program is free software; you can redistribute it and/or modify it under
   7  * the terms of the GNU Affero General Public License version 3 as published by the
   8  * Free Software Foundation with the addition of the following permission added
   9  * to Section 15 as permitted in Section 7(a): FOR ANY PART OF THE COVERED WORK
  10  * IN WHICH THE COPYRIGHT IS OWNED BY SUGARCRM, SUGARCRM DISCLAIMS THE WARRANTY
  11  * OF NON INFRINGEMENT OF THIRD PARTY RIGHTS.
  12  *
  13  * This program is distributed in the hope that it will be useful, but WITHOUT
  14  * ANY WARRANTY; without even the implied warranty of MERCHANTABILITY or FITNESS
  15  * FOR A PARTICULAR PURPOSE.  See the GNU Affero General Public License for more
  16  * details.
  17  *
  18  * You should have received a copy of the GNU Affero General Public License along with
  19  * this program; if not, see http://www.gnu.org/licenses or write to the Free
  20  * Software Foundation, Inc., 51 Franklin Street, Fifth Floor, Boston, MA
  21  * 02110-1301 USA.
  22  *
  23  * You can contact SugarCRM, Inc. headquarters at 10050 North Wolfe Road,
  24  * SW2-130, Cupertino, CA 95014, USA. or at email address contact@sugarcrm.com.
  25  *
  26  * The interactive user interfaces in modified source and object code versions
  27  * of this program must display Appropriate Legal Notices, as required under
  28  * Section 5 of the GNU Affero General Public License version 3.
  29  *
  30  * In accordance with Section 7(b) of the GNU Affero General Public License version 3,
  31  * these Appropriate Legal Notices must retain the display of the "Powered by
  32  * SugarCRM" logo. If the display of the logo is not reasonably feasible for
  33  * technical reasons, the Appropriate Legal Notices must display the words
  34  * "Powered by SugarCRM".
  35  ********************************************************************************/
  36
  37
  38 require_once 'include/utils.php';
  39
  40 class XssTest extends Sugar_PHPUnit_Framework_TestCase
  41 {
  42     public function xssData()
  43     {
  44         return array(
  45             array("some data", "some data"),
  46
  47             array("test <a href=\"http://www.digitalbrandexpressions.com\">link</a>", "test <a href=\"http://www.digitalbrandexpressions.com\">link</a>"),
  48             array("some data<script>alert('xss!')</script>", "some data<>alert('xss!')</>"),
  49             array("some data<script src=\" http://localhost/xss.js\"></script>", "some data< src=\" http://localhost/xss.js\"></>"),
  50             array("some data<applet></applet><script src=\" http://localhost/xss.js\"></script>", "some data<></>< src=\" http://localhost/xss.js\"></>"),
  51             );
  52     }
  53
  54     protected function clean($str) {
  55         $potentials = clean_xss($str, false);
  56         if(is_array($potentials) && !empty($potentials)) {
  57              foreach($potentials as $bad) {
  58                  $str = str_replace($bad, "", $str);
  59              }
  60         }
  61         return $str;
  62     }
  63
  64     /**
  65      * @dataProvider xssData
  66      */
  67     public function testXssFilter($before, $after)
  68     {
  69         $this->assertEquals($after, $this->clean($before));
  70     }
  71
  72     /**
  73      * @dataProvider xssData
  74      */
  75     public function testXssFilterBean($before, $after)
  76     {
  77         $bean = new EmailTemplate();
  78                 $bean->body_html = to_html($before);
  79         $bean->cleanBean();
  80         $this->assertEquals(to_html($after), $bean->body_html);
  81     }
  82 }