Skip to content
体验新版
项目
组织
正在加载...
登录
切换导航
打开侧边栏
镜像
tornadoweb
Tornado
提交
b5624573
Tornado
项目概览
镜像
/
tornadoweb
/
Tornado
大约 1 年 前同步成功
通知
26
Star
0
Fork
0
代码
文件
提交
分支
Tags
贡献者
分支图
Diff
Issue
0
列表
看板
标记
里程碑
合并请求
0
DevOps
流水线
流水线任务
计划
Wiki
0
Wiki
分析
仓库
DevOps
项目成员
Pages
Tornado
项目概览
项目概览
详情
发布
仓库
仓库
文件
提交
分支
标签
贡献者
分支图
比较
Issue
0
Issue
0
列表
看板
标记
里程碑
合并请求
0
合并请求
0
Pages
DevOps
DevOps
流水线
流水线任务
计划
分析
分析
仓库分析
DevOps
Wiki
0
Wiki
成员
成员
收起侧边栏
关闭侧边栏
动态
分支图
创建新Issue
流水线任务
提交
Issue看板
体验新版 GitCode,发现更多精彩内容 >>
提交
b5624573
编写于
6月 06, 2023
作者:
B
Ben Darnell
浏览文件
操作
浏览文件
下载
电子邮件补丁
差异文件
test: Add test for open redirect fixed in 6.3.2
上级
cb5db3bb
变更
1
隐藏空白更改
内联
并排
Showing
1 changed file
with
30 addition
and
1 deletion
+30
-1
tornado/test/web_test.py
tornado/test/web_test.py
+30
-1
未找到文件。
tornado/test/web_test.py
浏览文件 @
b5624573
...
...
@@ -1437,6 +1437,35 @@ class StaticDefaultFilenameTest(WebTestCase):
self
.
assertTrue
(
response
.
headers
[
"Location"
].
endswith
(
"/static/dir/"
))
class
StaticDefaultFilenameRootTest
(
WebTestCase
):
def
get_app_kwargs
(
self
):
return
dict
(
static_path
=
os
.
path
.
abspath
(
relpath
(
"static"
)),
static_handler_args
=
dict
(
default_filename
=
"index.html"
),
static_url_prefix
=
"/"
,
)
def
get_handlers
(
self
):
return
[]
def
get_http_client
(
self
):
# simple_httpclient only: curl doesn't let you send a request starting
# with two slashes.
return
SimpleAsyncHTTPClient
()
def
test_no_open_redirect
(
self
):
# This test verifies that the open redirect that affected some configurations
# prior to Tornado 6.3.2 is no longer possible. The vulnerability required
# a static_url_prefix of "/" and a default_filename (any value) to be set.
# The absolute server-side path to the static directory must also be known.
with
ExpectLog
(
gen_log
,
".*cannot redirect path with two initial slashes"
):
response
=
self
.
fetch
(
f
"//evil.com/../
{
os
.
path
.
dirname
(
__file__
)
}
/static/dir"
,
follow_redirects
=
False
,
)
self
.
assertEqual
(
response
.
code
,
403
)
class
StaticFileWithPathTest
(
WebTestCase
):
def
get_app_kwargs
(
self
):
return
dict
(
...
...
@@ -2847,7 +2876,7 @@ class XSRFTest(SimpleHandlerTestCase):
body
=
b
""
,
headers
=
dict
(
{
"X-Xsrftoken"
:
self
.
xsrf_token
},
# type: ignore
**
self
.
cookie_headers
()
**
self
.
cookie_headers
()
,
),
)
self
.
assertEqual
(
response
.
code
,
200
)
...
...
编辑
预览
Markdown
is supported
0%
请重试
或
添加新附件
.
添加附件
取消
You are about to add
0
people
to the discussion. Proceed with caution.
先完成此消息的编辑!
取消
想要评论请
注册
或
登录