senke/veza
1
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions
veza/docs/archive/frontend-sessions-2026/TEST_CORRECTIONS.md
senke 0e7097ed1b chore(cleanup): J1 — purge 220MB debris, archive session docs (complete) 
First-attempt commit 3a5c6e184 only captured the .gitignore change; the
pre-commit hook silently dropped the 343 staged moves/deletes during
lint-staged's "no matching task" path. This commit re-applies the intended
J1 content on top of bec75f143 (which was pushed in parallel).

Uses --no-verify because:
- J1 only touches .md/.json/.log/.png/binaries — zero code that would
  benefit from lint-staged, typecheck, or vitest
- The hook demonstrated it corrupts pure-rename commits in this repo
- Explicitly authorized by user for this one commit

Changes (343 total: 169 deletions + 174 renames):

Binaries purged (~167 MB):
- veza-backend-api/{server,modern-server,encrypt_oauth_tokens,seed,seed-v2}

Generated reports purged:
- 9 apps/web/lint_report*.json (~32 MB)
- 8 apps/web/tsc_*.{log,txt} + ts_*.log (TS error snapshots)
- 3 apps/web/storybook_*.json (1375+ stored errors)
- apps/web/{build_errors*,build_output,final_errors}.txt
- 70 veza-backend-api/coverage*.out + coverage_groups/ (~4 MB)
- 3 veza-backend-api/internal/handlers/*.bak

Root cleanup:
- 54 audit-*.png (visual regression baselines, ~11 MB)
- 9 stale MVP-era scripts (Jan 27, hardcoded v0.101):
  start_{iteration,mvp,recovery}.sh,
  test_{mvp_endpoints,protected_endpoints,user_journey}.sh,
  validate_v0101.sh, verify_logs_setup.sh, gen_hash.py

Session docs archived (not deleted — preserved under docs/archive/):
- 78 apps/web/*.md     → docs/archive/frontend-sessions-2026/
- 43 veza-backend-api/*.md → docs/archive/backend-sessions-2026/
- 53 docs/{RETROSPECTIVE_V,SMOKE_TEST_V,PLAN_V0_,V0_*_RELEASE_SCOPE,
          AUDIT_,PLAN_ACTION_AUDIT,REMEDIATION_PROGRESS}*.md
                        → docs/archive/v0-history/

README.md and CONTRIBUTING.md preserved in apps/web/ and veza-backend-api/.

Note: The .gitignore rules preventing recurrence were already pushed in
3a5c6e184 and remain in place — this commit does not modify .gitignore.

Refs: AUDIT_REPORT.md §11
2026-04-14 17:12:03 +02:00

5.4 KiB
Raw Blame History

Tests des Corrections Appliquées

1. Test CSP (Content Security Policy)

Objectif

Vérifier que unsafe-eval est absent en production et que les nonces CSP sont utilisés correctement.

Test à effectuer

  1. Build en mode production : npm run build
  2. Vérifier le header CSP dans vite.config.ts :
    • En production : doit contenir 'nonce-__CSP_NONCE__' et PAS 'unsafe-eval'
    • En dev : peut contenir 'unsafe-eval' uniquement pour Vite HMR

Fichiers modifiés

  • src/utils/csp.ts : Ajout de vérification de mode production dans buildCSPHeaderDev()
  • vite.config.ts : Configuration CSP avec nonces en production

Résultat attendu

En production : CSP stricte avec nonces, pas d'unsafe-eval En dev : CSP permissive avec unsafe-eval uniquement pour Vite HMR

2. Test Sanitisation XSS

Objectif

Vérifier que DOMPurify fonctionne correctement et bloque les scripts malveillants.

Test à effectuer

  1. Ouvrir la console du navigateur
  2. Tester dans un message de chat : 
    // Test 1: Script inline
const testMessage = '<script>alert("XSS")</script>Hello';
// Doit être sanitized et ne pas exécuter le script

// Test 2: Event handlers
const testMessage2 = '<img src=x onerror="alert(1)">';
// Doit être sanitized et retirer onerror

// Test 3: JavaScript URLs
const testMessage3 = '<a href="javascript:alert(1)">Click</a>';
// Doit être sanitized et retirer javascript:

Fichiers modifiés

  • src/utils/sanitize.ts : Configuration DOMPurify renforcée avec documentation

Résultat attendu

Tous les scripts et event handlers sont supprimés Seuls les tags HTML sûrs sont autorisés (p, br, strong, em, etc.) Les URLs javascript: sont bloquées

3. Test Toasts d'Erreur

Objectif

Vérifier que les erreurs de login/register sont affichées via des toasts.

Test à effectuer

  1. Aller sur la page de login (/login)
  2. Tenter de se connecter avec des identifiants invalides
  3. Vérifier qu'un toast d'erreur s'affiche en plus du message d'erreur dans le formulaire
  4. Répéter pour la page d'inscription (/register)

Fichiers modifiés

  • src/features/auth/components/LoginForm.tsx : Ajout de toast d'erreur
  • src/features/auth/components/RegisterForm.tsx : Ajout de toast d'erreur

Résultat attendu

Toast d'erreur visible en haut de l'écran Message d'erreur également affiché dans le formulaire Toast disparaît après quelques secondes

4. Test Hardcoding Localhost

Objectif

Vérifier que les fallbacks localhost ne sont pas utilisés en production.

Test à effectuer

  1. Build en mode production : npm run build
  2. Vérifier que les fichiers suivants lancent une erreur si les variables d'environnement ne sont pas définies :
    • src/services/tokenRefresh.ts
    • src/services/websocket.ts
    • src/config/constants.ts

Fichiers modifiés

  • src/services/tokenRefresh.ts : Chemin relatif /api/v1 au lieu de localhost
  • src/services/websocket.ts : URL WebSocket dynamique basée sur window.location
  • src/config/constants.ts : Validation stricte en production

Résultat attendu

En production : Erreur si variables d'environnement manquantes En dev : Fallback vers chemins relatifs (pas localhost hardcodé)

5. Test Types TypeScript

Objectif

Vérifier que les erreurs TypeScript critiques sont corrigées.

Test à effectuer

  1. Exécuter : npm run typecheck
  2. Vérifier que les erreurs suivantes sont résolues :
    • OfflineIndicator.tsx : TS7030 (Not all code paths return a value)
    • Onboarding.tsx : TS6133 ('X' is declared but never read)
    • AdminDashboardView.tsx : TS2322 (Type incompatibles)

Fichiers modifiés

  • src/components/OfflineIndicator.tsx : Ajout de return undefined dans else
  • src/components/Onboarding.tsx : Retrait de l'import 'X' non utilisé
  • src/components/admin/AdminDashboardView.tsx : Correction des props Card et Button

Résultat attendu

Aucune erreur TypeScript dans les fichiers modifiés

6. Test Fonctionnalités TODO

Objectif

Vérifier que les TODOs fonctionnels sont résolus.

Test à effectuer

  1. Play Track : Cliquer sur le bouton play dans les résultats de recherche

    • Fichier : src/features/tracks/components/TrackSearchResults.tsx
    • Résultat attendu : La track est ajoutée à la queue et commence à jouer

  2. Follow/Unfollow : Cliquer sur le bouton follow dans un profil utilisateur

    • Fichier : src/features/profile/components/FollowButton.tsx
    • Résultat attendu : L'utilisateur est suivi/désabonné avec un toast de confirmation

Fichiers modifiés

  • src/features/tracks/components/TrackSearchResults.tsx : Implémentation de handlePlayTrack
  • src/features/profile/components/FollowButton.tsx : Déjà implémenté (documenté)

Résultat attendu

Toutes les fonctionnalités TODO sont implémentées ou documentées

Résumé des Tests

Test Statut Notes
CSP Production unsafe-eval absent, nonces utilisés
Sanitisation XSS DOMPurify configuré correctement
Toasts d'Erreur Affichage visible pour login/register
Hardcoding Localhost Erreurs en production si env vars manquantes
Types TypeScript Erreurs critiques corrigées
TODOs Fonctionnels Play track implémenté, Follow déjà fait