Fix escaping on pagador and instruction fields

thaiscpaz · Apr 25, 2018 · 0f20e48 · 0f20e48
1 parent 320bf17
commit 0f20e48
Show file tree

Hide file tree

Showing 3 changed files with 9 additions and 7 deletions.
diff --git a/lib/formatters.js b/lib/formatters.js
@@ -1,3 +1,5 @@
+const escapeXML = require('ejs').escapeXML
+
 exports.capitalize = function (string) {
   return string.charAt(0).toUpperCase() + string.slice(1)
 }
@@ -94,5 +96,5 @@ exports.removeTrailingZeros = function (string) {
 }
 
 exports.htmlString = function (str) {
-  return str ? str.replace(/\n/g, '<br/>') : str
+  return str ? escapeXML(str).replace(/\n/g, '<br/>') : str
 }
diff --git a/test/e2e/boleto-output.js b/test/e2e/boleto-output.js
@@ -223,7 +223,7 @@ module.exports = (bankLogo, bankNumber, linhaDigitavel, barcode, bmpBarcode) =>
                 <td class="w659">Pagador</td>
             </tr>
             <tr class="cp h12">
-                <td>Nome do pagador<br/>CPF: 000.000.000-00</td>
+                <td>Nome do pagador<br/>CPF: 000.000.000-00&lt;script&gt;alert(1)&lt;/script&gt;</td>
             </tr>
             <tr class="cp h12 rBb">
                 <td></td>
@@ -234,7 +234,7 @@ module.exports = (bankLogo, bankNumber, linhaDigitavel, barcode, bmpBarcode) =>
                 <td class="w180 Ar">Autenticação mecânica</td>
             </tr>
             <tr class="cpN h12">
-                <td class="pL6">Sr. Caixa, aceitar o pagamento e não cobrar juros após o vencimento.</td>
+                <td class="pL6">Sr. Caixa, aceitar o pagamento e não cobrar juros após o vencimento.&lt;script&gt;alert(1)&lt;/script&gt;</td>
                 <td class="pL6 Ar"></td>
             </tr>
         </table><table class="ctN w666">
@@ -308,7 +308,7 @@ module.exports = (bankLogo, bankNumber, linhaDigitavel, barcode, bmpBarcode) =>
             <tr class="rc6">
                 <td class="w478">
                     <div class="ctN pL10">Instruções (Texto de responsabilidade do beneficiário)</div>
-            <div class="cpN pL10">Sr. Caixa, aceitar o pagamento e não cobrar juros após o vencimento.</div>
+            <div class="cpN pL10">Sr. Caixa, aceitar o pagamento e não cobrar juros após o vencimento.&lt;script&gt;alert(1)&lt;/script&gt;</div>
                 </td>
                 <td class="w186">
                     <div class="t">(-) Desconto / Abatimentos</div>
@@ -328,7 +328,7 @@ module.exports = (bankLogo, bankNumber, linhaDigitavel, barcode, bmpBarcode) =>
                 <td class="w659">Pagador</td>
             </tr>
             <tr class="cp h12">
-          <td class="At">Nome do pagador<br/>CPF: 000.000.000-00</td>
+          <td class="At">Nome do pagador<br/>CPF: 000.000.000-00&lt;script&gt;alert(1)&lt;/script&gt;</td>
             </tr>
         </table><table class="w666">
             <tr class="rBb">

diff --git a/test/e2e/boleto-render.spec.js b/test/e2e/boleto-render.spec.js