4765c5684cf84ddfad2dadace08e99d609bed6e6
[WebKit-https.git] / LayoutTests / imported / w3c / web-platform-tests / fetch / api / cors / cors-preflight.any.js
1 // META: script=/common/utils.js
2 // META: script=../resources/utils.js
3 // META: script=/common/get-host-info.sub.js
4
5 function headerNames(headers)
6 {
7     let names = [];
8     for (let header of headers)
9         names.push(header[0].toLowerCase());
10     return names
11 }
12
13 /*
14   Check preflight is done
15   Control if server allows method and headers and check accordingly
16   Check control access headers added by UA (for method and headers)
17 */
18 function corsPreflight(desc, corsUrl, method, allowed, headers, safeHeaders) {
19   return promise_test(function(test) {
20     var uuid_token = token();
21     return fetch(RESOURCES_DIR + "clean-stash.py?token=" + uuid_token).then(function(response) {
22       var url = corsUrl + (corsUrl.indexOf("?") === -1 ? "?" : "&");
23       var urlParameters = "token=" + uuid_token + "&max_age=0";
24       var requestInit = {"mode": "cors", "method": method};
25       var requestHeaders = [];
26       if (headers)
27         requestHeaders.push.apply(requestHeaders, headers);
28       if (safeHeaders)
29         requestHeaders.push.apply(requestHeaders, safeHeaders);
30       requestInit["headers"] = requestHeaders;
31
32       if (allowed) {
33         urlParameters += "&allow_methods=" + method + "&control_request_headers";
34         if (headers) {
35           //Make the server allow the headers
36           urlParameters += "&allow_headers=" + headerNames(headers).join("%20%2C");
37         }
38         return fetch(url + urlParameters, requestInit).then(function(resp) {
39           assert_equals(resp.status, 200, "Response's status is 200");
40           assert_equals(resp.headers.get("x-did-preflight"), "1", "Preflight request has been made");
41           if (headers) {
42             var actualHeaders = resp.headers.get("x-control-request-headers").toLowerCase().split(",");
43             for (var i in actualHeaders)
44               actualHeaders[i] = actualHeaders[i].trim();
45             for (var header of headers)
46               assert_in_array(header[0].toLowerCase(), actualHeaders, "Preflight asked permission for header: " + header);
47
48             let accessControlAllowHeaders = headerNames(headers).sort().join(",");
49             assert_equals(resp.headers.get("x-control-request-headers"), accessControlAllowHeaders, "Access-Control-Allow-Headers value");
50             return fetch(RESOURCES_DIR + "clean-stash.py?token=" + uuid_token);
51           } else {
52             assert_equals(resp.headers.get("x-control-request-headers"), null, "Access-Control-Request-Headers should be omitted")
53           }
54         });
55       } else {
56         return promise_rejects(test, new TypeError(), fetch(url + urlParameters, requestInit)).then(function(){
57           return fetch(RESOURCES_DIR + "clean-stash.py?token=" + uuid_token);
58         });
59       }
60     });
61   }, desc);
62 }
63
64 var corsUrl = get_host_info().HTTP_REMOTE_ORIGIN + dirname(location.pathname) + RESOURCES_DIR + "preflight.py";
65
66 corsPreflight("CORS [DELETE], server allows", corsUrl, "DELETE", true);
67 corsPreflight("CORS [DELETE], server refuses", corsUrl, "DELETE", false);
68 corsPreflight("CORS [PUT], server allows", corsUrl, "PUT", true);
69 corsPreflight("CORS [PUT], server allows, check preflight has user agent", corsUrl + "?checkUserAgentHeaderInPreflight", "PUT", true);
70 corsPreflight("CORS [PUT], server refuses", corsUrl, "PUT", false);
71 corsPreflight("CORS [PATCH], server allows", corsUrl, "PATCH", true);
72 corsPreflight("CORS [PATCH], server refuses", corsUrl, "PATCH", false);
73 corsPreflight("CORS [NEW], server allows", corsUrl, "NEW", true);
74 corsPreflight("CORS [NEW], server refuses", corsUrl, "NEW", false);
75
76 corsPreflight("CORS [GET] [x-test-header: allowed], server allows", corsUrl, "GET", true, [["x-test-header1", "allowed"]]);
77 corsPreflight("CORS [GET] [x-test-header: refused], server refuses", corsUrl, "GET", false, [["x-test-header1", "refused"]]);
78
79 var headers = [
80     ["x-test-header1", "allowedOrRefused"],
81     ["x-test-header2", "allowedOrRefused"],
82     ["X-test-header3", "allowedOrRefused"],
83     ["x-test-header-b", "allowedOrRefused"],
84     ["x-test-header-D", "allowedOrRefused"],
85     ["x-test-header-C", "allowedOrRefused"],
86     ["x-test-header-a", "allowedOrRefused"],
87     ["Content-Type", "allowedOrRefused"],
88 ];
89 var safeHeaders= [
90     ["Accept", "*"],
91     ["Accept-Language", "bzh"],
92     ["Content-Language", "eu"],
93 ];
94
95 corsPreflight("CORS [GET] [several headers], server allows", corsUrl, "GET", true, headers, safeHeaders);
96 corsPreflight("CORS [GET] [several headers], server refuses", corsUrl, "GET", false, headers, safeHeaders);
97 corsPreflight("CORS [PUT] [several headers], server allows", corsUrl, "PUT", true, headers, safeHeaders);
98 corsPreflight("CORS [PUT] [several headers], server refuses", corsUrl, "PUT", false, headers, safeHeaders);
99
100 corsPreflight("CORS [PUT] [only safe headers], server allows", corsUrl, "PUT", true, null, safeHeaders);