fix: не мутировать дефолтный конфиг при многократном вызове sanitize

https://jira.railsc.ru/browse/CK-1371
abak-press · Jan 23, 2018 · 629b9fd · 629b9fd
1 parent b7682ae
commit 629b9fd
Show file tree

Hide file tree

Showing 2 changed files with 16 additions and 6 deletions.
diff --git a/lib/string_tools.rb b/lib/string_tools.rb
@@ -159,21 +159,19 @@ class Base
         'a'     => %w(href target name style),
         'table' => %w(cellpadding cellspacing width border align style),
         'img'   => %w(src width height style)
-      }
+      }.freeze
 
-      TAGS_WITHOUT_ATTRIBUTES = %w(b strong i em sup sub ul ol li blockquote br tr u caption thead)
+      TAGS_WITHOUT_ATTRIBUTES = %w(b strong i em sup sub ul ol li blockquote br tr u caption thead).freeze
 
-      def sanitize(str, attr = {})
+      def sanitize(str, attrs = {})
         # для корректного обрезания utf строчек режем через mb_chars
         # для защиты от перегрузки парсера пропускаем максимум 1 мегабайт текста
         # длина русского символа в utf-8 - 2 байта, 1Мб/2б = 524288 = 2**19 символов
         # длина по символам с перестраховкой, т.к. латинские символы(теги, например) занимают 1 байт
         str = str.mb_chars.slice(0..(2**19)).to_s
 
-        attributes = TAGS_WITH_ATTRIBUTES
-
         # Мерджим добавочные теги и атрибуты
-        attributes.merge!(attr)
+        attributes = TAGS_WITH_ATTRIBUTES.merge(attrs)
         elements = attributes.keys | TAGS_WITHOUT_ATTRIBUTES
 
         transformers = [LINK_NORMALIZER]

diff --git a/spec/string_tools_spec.rb b/spec/string_tools_spec.rb
@@ -54,6 +54,18 @@
       expect(sanitized_string).
         to eq('<iframe width="123" height="456" src="https://www.youtube.com/embed/abc" frameborder="0"></iframe>')
     end
+
+    context 'multiple invocations of the method' do
+      it 'does not mess up default config' do
+        origin_str = '<p style="text-align: center;" title="foobar"></p>'
+
+        with_custom_config = described_class.sanitize(origin_str, 'p' => %w(style title))
+        with_default_config = described_class.sanitize(origin_str)
+
+        expect(with_custom_config).to eq('<p style="text-align: center;" title="foobar"></p>')
+        expect(with_default_config).to eq('<p style="text-align: center;"></p>')
+      end
+    end
   end
 
   describe '#clear_unicode_separator_characters' do