]> Untitled Git - lemmy-ui.git/blob - src/server/index.tsx
Adding a content security policy. Fixes #20
[lemmy-ui.git] / src / server / index.tsx
1 import serialize from 'serialize-javascript';
2 import express from 'express';
3 import { StaticRouter } from 'inferno-router';
4 import { renderToString } from 'inferno-server';
5 import { matchPath } from 'inferno-router';
6 import path from 'path';
7 import { App } from '../shared/components/app';
8 import { InitialFetchRequest, IsoData } from '../shared/interfaces';
9 import { routes } from '../shared/routes';
10 import IsomorphicCookie from 'isomorphic-cookie';
11 import { setAuth } from '../shared/utils';
12 import { GetSiteForm, LemmyHttp } from 'lemmy-js-client';
13 import process from 'process';
14 import { Helmet } from 'inferno-helmet';
15 import { initializeSite } from '../shared/initialize';
16 import { httpUri } from '../shared/env';
17 import { IncomingHttpHeaders } from 'http';
18
19 const server = express();
20 const port = 1234;
21
22 server.use(express.json());
23 server.use(express.urlencoded({ extended: false }));
24 server.use('/static', express.static(path.resolve('./dist')));
25
26 // server.use(cookieParser());
27
28 server.get('/*', async (req, res) => {
29   const activeRoute = routes.find(route => matchPath(req.path, route)) || {};
30   const context = {} as any;
31   let auth: string = IsomorphicCookie.load('jwt', req);
32
33   let getSiteForm: GetSiteForm = {};
34   setAuth(getSiteForm, auth);
35
36   let promises: Promise<any>[] = [];
37
38   let headers = setForwardedHeaders(req.headers);
39
40   let initialFetchReq: InitialFetchRequest = {
41     client: new LemmyHttp(httpUri, headers),
42     auth,
43     path: req.path,
44   };
45
46   // Get site data first
47   let site = await initialFetchReq.client.getSite(getSiteForm);
48   initializeSite(site);
49
50   if (activeRoute.fetchInitialData) {
51     promises.push(...activeRoute.fetchInitialData(initialFetchReq));
52   }
53
54   let routeData = await Promise.all(promises);
55
56   // Redirect to the 404 if there's an API error
57   if (routeData[0] && routeData[0].error) {
58     let errCode = routeData[0].error;
59     return res.redirect(`/404?err=${errCode}`);
60   }
61
62   let acceptLang = req.headers['accept-language']
63     ? req.headers['accept-language'].split(',')[0]
64     : 'en';
65   let lang = !!site.my_user
66     ? site.my_user.lang == 'browser'
67       ? acceptLang
68       : 'en'
69     : acceptLang;
70
71   let isoData: IsoData = {
72     path: req.path,
73     site,
74     routeData,
75     lang,
76   };
77
78   const wrapper = (
79     <StaticRouter location={req.url} context={isoData}>
80       <App site={isoData.site} />
81     </StaticRouter>
82   );
83   if (context.url) {
84     return res.redirect(context.url);
85   }
86
87   const root = renderToString(wrapper);
88   const helmet = Helmet.renderStatic();
89
90   res.send(`
91            <!DOCTYPE html>
92            <html ${helmet.htmlAttributes.toString()} lang="en">
93            <head>
94            <script>window.isoData = ${serialize(isoData)}</script>
95
96            ${helmet.title.toString()}
97            ${helmet.meta.toString()}
98
99            <!-- Required meta tags -->
100            <meta name="Description" content="Lemmy">
101            <meta charset="utf-8">
102            <meta name="viewport" content="width=device-width, initial-scale=1, shrink-to-fit=no">
103
104            <!-- Content Security Policy -->
105            <meta http-equiv="Content-Security-Policy" content="default-src 'none'; connect-src 'self'; frame-src *; img-src *; script-src 'self' 'unsafe-inline'; style-src 'self' 'unsafe-inline'">
106
107            <!-- Web app manifest -->
108            <link rel="manifest" href="/static/assets/manifest.webmanifest">
109
110            <!-- Icons -->
111            <link rel="shortcut icon" type="image/svg+xml" href="/static/assets/icons/favicon.svg" />
112            <link rel="apple-touch-icon" href="/static/assets/icons/apple-touch-icon.png" />
113
114            <!-- Styles -->
115            <link rel="stylesheet" type="text/css" href="/static/styles/styles.css" />
116
117            <!-- Current theme and more -->
118            ${helmet.link.toString()}
119            </head>
120
121            <body ${helmet.bodyAttributes.toString()}>
122              <noscript>
123                <div class="alert alert-danger rounded-0" role="alert">
124                  <b>Javascript is disabled. Actions will not work.</b>
125                </div>
126              </noscript>
127
128              <div id='root'>${root}</div>
129              <script defer src='/static/js/client.js'></script>
130            </body>
131          </html>
132 `);
133 });
134
135 server.listen(port, () => {
136   console.log(`http://localhost:${port}`);
137 });
138
139 function setForwardedHeaders(
140   headers: IncomingHttpHeaders
141 ): { [key: string]: string } {
142   let out = {
143     host: headers.host,
144   };
145   if (headers['x-real-ip']) {
146     out['x-real-ip'] = headers['x-real-ip'];
147   }
148   if (headers['x-forwarded-for']) {
149     out['x-forwarded-for'] = headers['x-forwarded-for'];
150   }
151
152   return out;
153 }
154
155 process.on('SIGINT', () => {
156   console.info('Interrupted');
157   process.exit(0);
158 });