senke/veza
1
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions
veza/docs/archive/frontend-sessions-2026/TEST_CORRECTIONS.md
senke 7c9eece09a
Some checks failed
Backend API CI / test-unit (push) Has been cancelled
Details
Backend API CI / test-integration (push) Has been cancelled
Details
Veza CI / Rust (Stream Server) (push) Has been cancelled
Details
Veza CI / Backend (Go) (push) Has been cancelled
Details
Veza CI / Notify on failure (push) Has been cancelled
Details
Veza CI / Frontend (Web) (push) Has been cancelled
Details
Frontend CI / test (push) Has been cancelled
Details
Security Scan / Secret Scanning (gitleaks) (push) Has been cancelled
Details
chore(cleanup): J1 — purge 220MB debris, archive session docs (complete) 
First-attempt commit 02728909f only captured the .gitignore change; the
pre-commit hook silently dropped the 343 staged moves/deletes during
lint-staged's "no matching task" path. This commit re-applies the intended
J1 content on top of 24af2f72b (which was pushed in parallel).

Uses --no-verify because:
- J1 only touches .md/.json/.log/.png/binaries — zero code that would
  benefit from lint-staged, typecheck, or vitest
- The hook demonstrated it corrupts pure-rename commits in this repo
- Explicitly authorized by user for this one commit

Changes (343 total: 169 deletions + 174 renames):

Binaries purged (~167 MB):
- veza-backend-api/{server,modern-server,encrypt_oauth_tokens,seed,seed-v2}

Generated reports purged:
- 9 apps/web/lint_report*.json (~32 MB)
- 8 apps/web/tsc_*.{log,txt} + ts_*.log (TS error snapshots)
- 3 apps/web/storybook_*.json (1375+ stored errors)
- apps/web/{build_errors*,build_output,final_errors}.txt
- 70 veza-backend-api/coverage*.out + coverage_groups/ (~4 MB)
- 3 veza-backend-api/internal/handlers/*.bak

Root cleanup:
- 54 audit-*.png (visual regression baselines, ~11 MB)
- 9 stale MVP-era scripts (Jan 27, hardcoded v0.101):
  start_{iteration,mvp,recovery}.sh,
  test_{mvp_endpoints,protected_endpoints,user_journey}.sh,
  validate_v0101.sh, verify_logs_setup.sh, gen_hash.py

Session docs archived (not deleted — preserved under docs/archive/):
- 78 apps/web/*.md     → docs/archive/frontend-sessions-2026/
- 43 veza-backend-api/*.md → docs/archive/backend-sessions-2026/
- 53 docs/{RETROSPECTIVE_V,SMOKE_TEST_V,PLAN_V0_,V0_*_RELEASE_SCOPE,
          AUDIT_,PLAN_ACTION_AUDIT,REMEDIATION_PROGRESS}*.md
                        → docs/archive/v0-history/

README.md and CONTRIBUTING.md preserved in apps/web/ and veza-backend-api/.

Note: The .gitignore rules preventing recurrence were already pushed in
02728909f and remain in place — this commit does not modify .gitignore.

Refs: AUDIT_REPORT.md §11
2026-04-14 17:12:03 +02:00

155 lines
5.4 KiB
Markdown
Raw Blame History

# Tests des Corrections Appliquées
## 1. Test CSP (Content Security Policy)
### Objectif
Vérifier que `unsafe-eval` est absent en production et que les nonces CSP sont utilisés correctement.
### Test à effectuer
1. Build en mode production : `npm run build`
2. Vérifier le header CSP dans `vite.config.ts` :
- En production : doit contenir `'nonce-__CSP_NONCE__'` et PAS `'unsafe-eval'`
- En dev : peut contenir `'unsafe-eval'` uniquement pour Vite HMR
### Fichiers modifiés
- `src/utils/csp.ts` : Ajout de vérification de mode production dans `buildCSPHeaderDev()`
- `vite.config.ts` : Configuration CSP avec nonces en production
### Résultat attendu
✅ En production : CSP stricte avec nonces, pas d'unsafe-eval
✅ En dev : CSP permissive avec unsafe-eval uniquement pour Vite HMR
---
## 2. Test Sanitisation XSS
### Objectif
Vérifier que DOMPurify fonctionne correctement et bloque les scripts malveillants.
### Test à effectuer
1. Ouvrir la console du navigateur
2. Tester dans un message de chat :
```javascript
// Test 1: Script inline
const testMessage = '<script>alert("XSS")</script>Hello';
// Doit être sanitized et ne pas exécuter le script
// Test 2: Event handlers
const testMessage2 = '<img src=x onerror="alert(1)">';
// Doit être sanitized et retirer onerror
// Test 3: JavaScript URLs
const testMessage3 = '<a href="javascript:alert(1)">Click</a>';
// Doit être sanitized et retirer javascript:
```
### Fichiers modifiés
- `src/utils/sanitize.ts` : Configuration DOMPurify renforcée avec documentation
### Résultat attendu
✅ Tous les scripts et event handlers sont supprimés
✅ Seuls les tags HTML sûrs sont autorisés (p, br, strong, em, etc.)
✅ Les URLs javascript: sont bloquées
---
## 3. Test Toasts d'Erreur
### Objectif
Vérifier que les erreurs de login/register sont affichées via des toasts.
### Test à effectuer
1. Aller sur la page de login (`/login`)
2. Tenter de se connecter avec des identifiants invalides
3. Vérifier qu'un toast d'erreur s'affiche en plus du message d'erreur dans le formulaire
4. Répéter pour la page d'inscription (`/register`)
### Fichiers modifiés
- `src/features/auth/components/LoginForm.tsx` : Ajout de toast d'erreur
- `src/features/auth/components/RegisterForm.tsx` : Ajout de toast d'erreur
### Résultat attendu
✅ Toast d'erreur visible en haut de l'écran
✅ Message d'erreur également affiché dans le formulaire
✅ Toast disparaît après quelques secondes
---
## 4. Test Hardcoding Localhost
### Objectif
Vérifier que les fallbacks localhost ne sont pas utilisés en production.
### Test à effectuer
1. Build en mode production : `npm run build`
2. Vérifier que les fichiers suivants lancent une erreur si les variables d'environnement ne sont pas définies :
- `src/services/tokenRefresh.ts`
- `src/services/websocket.ts`
- `src/config/constants.ts`
### Fichiers modifiés
- `src/services/tokenRefresh.ts` : Chemin relatif `/api/v1` au lieu de localhost
- `src/services/websocket.ts` : URL WebSocket dynamique basée sur window.location
- `src/config/constants.ts` : Validation stricte en production
### Résultat attendu
✅ En production : Erreur si variables d'environnement manquantes
✅ En dev : Fallback vers chemins relatifs (pas localhost hardcodé)
---
## 5. Test Types TypeScript
### Objectif
Vérifier que les erreurs TypeScript critiques sont corrigées.
### Test à effectuer
1. Exécuter : `npm run typecheck`
2. Vérifier que les erreurs suivantes sont résolues :
- `OfflineIndicator.tsx` : TS7030 (Not all code paths return a value)
- `Onboarding.tsx` : TS6133 ('X' is declared but never read)
- `AdminDashboardView.tsx` : TS2322 (Type incompatibles)
### Fichiers modifiés
- `src/components/OfflineIndicator.tsx` : Ajout de `return undefined` dans else
- `src/components/Onboarding.tsx` : Retrait de l'import 'X' non utilisé
- `src/components/admin/AdminDashboardView.tsx` : Correction des props Card et Button
### Résultat attendu
✅ Aucune erreur TypeScript dans les fichiers modifiés
---
## 6. Test Fonctionnalités TODO
### Objectif
Vérifier que les TODOs fonctionnels sont résolus.
### Test à effectuer
1. **Play Track** : Cliquer sur le bouton play dans les résultats de recherche
- Fichier : `src/features/tracks/components/TrackSearchResults.tsx`
- Résultat attendu : La track est ajoutée à la queue et commence à jouer
2. **Follow/Unfollow** : Cliquer sur le bouton follow dans un profil utilisateur
- Fichier : `src/features/profile/components/FollowButton.tsx`
- Résultat attendu : L'utilisateur est suivi/désabonné avec un toast de confirmation
### Fichiers modifiés
- `src/features/tracks/components/TrackSearchResults.tsx` : Implémentation de `handlePlayTrack`
- `src/features/profile/components/FollowButton.tsx` : Déjà implémenté (documenté)
### Résultat attendu
✅ Toutes les fonctionnalités TODO sont implémentées ou documentées
---
## Résumé des Tests
| Test | Statut | Notes |
|------|--------|-------|
| CSP Production | ✅ | unsafe-eval absent, nonces utilisés |
| Sanitisation XSS | ✅ | DOMPurify configuré correctement |
| Toasts d'Erreur | ✅ | Affichage visible pour login/register |
| Hardcoding Localhost | ✅ | Erreurs en production si env vars manquantes |
| Types TypeScript | ✅ | Erreurs critiques corrigées |
| TODOs Fonctionnels | ✅ | Play track implémenté, Follow déjà fait |
Reference in a new issue View git blame Copy permalink