PyPI - nene2-python - Versions diffs - 1.8.25__tar.gz → 1.8.27__tar.gz - Mend

nene2-python 1.8.25tar.gz → 1.8.27tar.gz

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (275) hide show

{nene2_python-1.8.25 → nene2_python-1.8.27}/CHANGELOG.md RENAMED Viewed

@@ -5,6 +5,28 @@ Format follows [Keep a Changelog](https://keepachangelog.com/en/1.1.0/).
 ---
+## [1.8.26] — 2026-05-20
+FT80 フィールドトライアル — LocalMcpServer + HttpxMcpClient MCP E2E 検証と list_tools() 追加。
+### Added
+- `LocalMcpServer` に `list_tools()` メソッドを追加 (#342) (FT80)
+  — 登録済みツール名の一覧を返す。デバッグ・イントロスペクション用途
+- Field trial report: `docs/field-trials/2026-05-field-trial-80.md` (FT80)
+---
+## [1.8.25] — 2026-05-20
+FT79 フィールドトライアル — RequestLoggingMiddleware の構造化ログ検証と context_extractor 追加。
+### Added
+- `RequestLoggingMiddleware` に `context_extractor` コールバックパラメーターを追加 (#339) (FT79)
+  — リクエストごとの動的なログコンテキスト（user_id、テナントID等）を注入できる
+- Field trial report: `docs/field-trials/2026-05-field-trial-79.md` (FT79)
+---
 ## [1.8.24] — 2026-05-20
 FT78 フィールドトライアル — ThrottleMiddleware の境界動作検証とドキュメント強化。

{nene2_python-1.8.25 → nene2_python-1.8.27}/PKG-INFO RENAMED Viewed

@@ -1,6 +1,6 @@
 Metadata-Version: 2.4
 Name: nene2-python
-Version: 1.8.25
+Version: 1.8.27
 Summary: NENE2 Python — minimal API framework following NENE2's design philosophy
 Project-URL: Homepage, https://github.com/hideyukiMORI/nene2-python
 Project-URL: Repository, https://github.com/hideyukiMORI/nene2-python

nene2_python-1.8.27/docs/field-trials/2026-05-field-trial-80.md ADDED Viewed

@@ -0,0 +1,176 @@
+# FT80: MCP E2E — LocalMcpServer + HttpxMcpClient
+**日付**: 2026-05-20
+**テーマ**: LocalMcpServer にツールを登録し FastAPI アプリと連携する完全往復の検証
+**バージョン**: v1.8.25
+**FTディレクトリ**: `/home/xi/docker/nene2-python-FT/ft80-mcp-e2e/`
+---
+## 概要
+nene2 の MCP 機能（`LocalMcpServer` / `HttpxMcpClient`）を実際に使って
+FastAPI アプリと MCP ツールを組み合わせるパターンを検証した。
+基本機能は期待通り動作するが、MCP ツールから型付きオブジェクトを返す際の
+手動 JSON 変換の要求と、ツール一覧取得 API の欠如が摩擦点として判明した。
+---
+## 実装パターン
+### FastAPI + LocalMcpServer 共存
+```python
+from nene2.mcp import LocalMcpServer
+app = FastAPI()
+mcp_server = LocalMcpServer("recipe-assistant", "Recipe management assistant")
+@app.post("/recipes")
+def create_recipe(body: RecipeBody) -> JSONResponse:
+    ...
+@mcp_server.tool("Create a new recipe")
+def create_new_recipe(title: str, ingredients: list[str]) -> str:
+    r = api_client.post("/recipes", json={"title": title, "ingredients": ingredients})
+    return r.text  # JSON 文字列を返す
+```
+### McpHttpError を使ったエラーハンドリング
+```python
+@mcp_server.tool("Get a recipe by ID")
+def get_recipe_by_id(recipe_id: int) -> str:
+    r = client.get(f"/recipes/{recipe_id}")
+    if r.status_code == 404:
+        raise McpHttpError(404, f"Recipe {recipe_id} not found")
+    return r.text
+```
+### HttpxMcpClient をテストトランスポートでモック
+```python
+transport = httpx.MockTransport(handler=lambda req: httpx.Response(200, json={}))
+http_client = HttpxMcpClient(transport=transport)
+response = http_client.get("http://testserver", "/recipes")
+```
+---
+## 発見した問題
+### 問題1: MCP ツールは文字列しか返せない（手動 JSON 変換が必要）
+```python
+# ❌ UseCase の Output dataclass を直接返せない
+@mcp_server.tool("Get recipe")
+def get_recipe() -> RecipeOutput:  # 型エラー
+    ...
+# ✅ JSON 文字列に変換して返す（手動変換が必要）
+@mcp_server.tool("Get recipe")
+def get_recipe() -> str:
+    output = use_case.execute(input_)
+    return json.dumps(dataclasses.asdict(output))
+```
+UseCase の型安全性が MCP ツール境界で失われる。
+FastAPI の `response_model` のような仕組みが MCP にはない。
+### 問題2: ツール一覧取得 API がない
+```python
+mcp_server = LocalMcpServer("test-server")
+@mcp_server.tool("Tool 1")
+def tool_one() -> str:
+    return "one"
+# 登録済みツールの確認手段がない
+# mcp_server.list_tools()  → 存在しない
+# mcp_server.tools          → 存在しない
+```
+デバッグ時に「このサーバーに何のツールが登録されているか」を確認できない。
+### 問題3: Pydantic の `max_items` 非推奨警告
+```python
+# ⚠ PydanticDeprecatedSince20 警告
+ingredients: list[str] = Field(max_items=20)
+# ✅ 正しい書き方（nene2 ドキュメントに記載が必要）
+ingredients: list[str] = Field(max_length=20)
+```
+nene2 のドキュメント/例に `max_items` が残っている可能性がある。
+---
+## テスト結果（全17件パス）
+```
+test_create_recipe_returns_201              PASSED
+test_get_recipe_returns_200                 PASSED
+test_get_nonexistent_recipe_returns_404     PASSED
+test_list_recipes_empty                     PASSED
+test_delete_recipe_returns_204              PASSED
+test_mcp_get_all_recipes_returns_json_string  PASSED  # ツールが JSON 文字列を返す
+test_mcp_create_recipe_tool                 PASSED
+test_mcp_get_recipe_by_id_found             PASSED
+test_mcp_get_recipe_by_id_not_found_raises  PASSED  # McpHttpError 正常動作
+test_mcp_delete_recipe_tool                 PASSED
+test_mcp_delete_nonexistent_raises          PASSED
+test_mcp_server_is_importable               PASSED
+test_mcp_server_tool_registration           PASSED
+test_http_mcp_client_with_test_transport    PASSED  # MockTransport で DI テスト
+test_http_mcp_client_raise_for_error        PASSED
+test_friction_mcp_tool_cannot_return_typed_object  PASSED
+test_friction_no_mcp_tool_discovery_api     PASSED
+```
+---
+## 摩擦ポイント一覧
+| ID | 内容 | 深刻度 |
+|---|---|---|
+| F80-1 | MCP ツールは文字列を返す必要があり、UseCase の型付き Output を直接渡せない | 中 |
+| F80-2 | LocalMcpServer に登録済みツールの一覧取得 API がない | 低 |
+| F80-3 | Pydantic v2 の `max_items` 非推奨（`max_length` に変更必要） | 低 |
+---
+## 使用感（主観評価）
+### 直感性 ★★★★☆
+`@mcp_server.tool("description")` デコレーターは非常に直感的で、
+FastAPI の `@app.get("/path")` と同じ感覚で使える。
+`McpHttpError` と `raise_for_error()` のパターンも明瞭。
+### 実害の深刻さ ★★☆☆☆
+文字列変換の必要性は設計上仕方ない（MCP プロトコルの制約）。
+`json.dumps(dataclasses.asdict(output))` は1行で書けるので実際の摩擦は小さい。
+ツール一覧確認はデバッグ時の不便さのみで、本番には影響しない。
+### 修正のしやすさ ★★★★★
+どれも小さな改善で対応できる:
+- `list_tools()` メソッドを `LocalMcpServer` に追加するだけ
+- ドキュメントに `json.dumps(dataclasses.asdict(output))` のパターンを記載するだけ
+### 総合コメント
+MCP 機能は他の Python フレームワークにはない nene2 の差別化ポイント。
+FastAPI との共存パターン、`McpHttpError` のエラーハンドリング、
+`HttpxMcpClient` の `MockTransport` DI テストパターンは非常によくできている。
+「他のフレームワークに乗り換えようと思わない」と思わせる独自の価値がある。
+---
+## 推奨アクション
+1. **Issue**: `LocalMcpServer` に `list_tools()` メソッドを追加（デバッグ用）
+2. **minor**: Pydantic v2 の `max_items` → `max_length` への更新（ドキュメント確認）

nene2_python-1.8.27/docs/field-trials/2026-05-field-trial-81.md ADDED Viewed

@@ -0,0 +1,198 @@
+# FT81: CORS 設定 — setup_middlewares() と CORSMiddleware の組み合わせ
+**日付**: 2026-05-20
+**テーマ**: setup_middlewares() に CORS サポートがない場合の正しい設定パターン検証
+**バージョン**: v1.8.26
+**FTディレクトリ**: `/home/xi/docker/nene2-python-FT/ft81-cors/`
+---
+## 概要
+nene2 の `setup_middlewares()` は CORS をサポートしていないため、
+ブラウザから API を呼び出すアプリで CORS が必要になった際に
+ユーザーは `CORSMiddleware` を手動で追加する必要がある。
+その際、Starlette の LIFO ミドルウェア順序を理解していないと
+OPTIONS プリフライトが正常に動作しない問題を確認した。
+---
+## 実装パターン
+### 正しい CORS 設定（CORS を最外側に配置）
+```python
+from fastapi import FastAPI
+from fastapi.middleware.cors import CORSMiddleware
+from nene2.middleware import setup_middlewares
+ALLOWED_ORIGINS = [
+    "https://app.example.com",
+    "https://admin.example.com",
+]
+app = FastAPI()
+# ✅ CORS を先に add_middleware → setup_middlewares() 後は LIFO で最外側になる
+app.add_middleware(
+    CORSMiddleware,
+    allow_origins=ALLOWED_ORIGINS,
+    allow_methods=["GET", "POST", "PUT", "DELETE", "OPTIONS"],
+    allow_headers=["Authorization", "Content-Type"],
+    allow_credentials=True,
+)
+setup_middlewares(app)
+```
+### 間違ったパターン（CORS が内側になる）
+```python
+# ❌ setup_middlewares() の後に CORS を追加すると内側に入る
+app = FastAPI()
+setup_middlewares(app)
+app.add_middleware(CORSMiddleware, allow_origins=["https://app.example.com"])
+# → OPTIONS プリフライトが nene2 ミドルウェアに遮断される可能性がある
+```
+### 禁止パターン（CLAUDE.md ポリシー違反）
+```python
+# ❌ CLAUDE.md 明示禁止: allow_origins=["*"]
+app.add_middleware(
+    CORSMiddleware,
+    allow_origins=["*"],  # セキュリティリスク
+)
+```
+---
+## 発見した問題
+### 問題1: setup_middlewares() に CORS パラメーターがない
+```python
+# CORS が必要でも setup_middlewares() のシグネチャに cors パラメーターなし
+setup_middlewares(
+    app,
+    # cors_allowed_origins=["https://app.example.com"],  # 存在しない
+)
+```
+ユーザーは `FastAPI.add_middleware(CORSMiddleware, ...)` を直接呼ぶ必要がある。
+FastAPI/Starlette のドキュメントを参照しなければ方法がわからない。
+### 問題2: ミドルウェア順序が直感に反する（LIFO）
+```python
+# Starlette は LIFO — 最後に add_middleware したものが最外側になる
+# つまり CORS を「最外側にしたい」なら「最初に add する」
+app.add_middleware(CORSMiddleware, ...)  # ← 先に追加 = 最外側（正しい）
+setup_middlewares(app)                   # ← 後から追加 = 内側
+# 逆にすると:
+setup_middlewares(app)                   # ← 先に追加 = 最内側（危険）
+app.add_middleware(CORSMiddleware, ...)  # ← 後から追加 = 最外側になってしまう
+```
+「最外側に置きたいなら先に add する」という反直感的な順序。
+### 問題3: nene2 が allow_origins=["*"] を禁止しない
+```python
+# CLAUDE.md で明示禁止されているが、nene2 フレームワークは検証しない
+app.add_middleware(
+    CORSMiddleware,
+    allow_origins=["*"],  # 禁止ポリシーだが動作してしまう
+)
+```
+フレームワークレベルで `ValueError` を raise することも可能だが、
+`setup_middlewares()` を経由しない場合は検証できない。
+### 問題4: 複数オリジン・credentials 設定パターンがドキュメントにない
+本番アプリでは複数オリジン（本番環境 + ステージング環境）や
+`allow_credentials=True` が必要なケースが多いが、
+nene2 のドキュメントにこのパターンの記載がない。
+---
+## テスト結果（全13件パス）
+```
+test_list_items_returns_200                            PASSED
+test_create_item_returns_201                           PASSED
+test_cors_allowed_origin_returns_access_control_header PASSED
+test_cors_disallowed_origin_no_access_control_header   PASSED
+test_cors_preflight_options_returns_200                PASSED  # OPTIONS プリフライト正常動作
+test_cors_preflight_disallowed_origin                  PASSED
+test_cors_credentials_allowed                          PASSED
+test_security_headers_present_with_cors               PASSED  # nene2 ミドルウェアと共存
+test_request_id_present_with_cors                     PASSED  # X-Request-Id と共存
+test_friction_no_cors_in_setup_middlewares             PASSED  # 摩擦: CORS パラメーターなし
+test_friction_cors_order_matters                       PASSED  # 摩擦: LIFO 順序問題
+test_friction_wildcard_origin_is_insecure              PASSED  # 摩擦: ["*"] を止めない
+test_friction_multiple_origins_not_documented          PASSED  # 摩擦: ドキュメント不足
+```
+---
+## 摩擦ポイント一覧
+| ID | 内容 | 深刻度 |
+|---|---|---|
+| F81-1 | `setup_middlewares()` に CORS パラメーターがなく手動追加が必要 | 中 |
+| F81-2 | Starlette の LIFO 順序を知らないと OPTIONS プリフライトが壊れる | 中 |
+| F81-3 | `allow_origins=["*"]` を nene2 が禁止しない（ポリシーのみ） | 低 |
+| F81-4 | 複数オリジン・credentials パターンがドキュメントに未記載 | 低 |
+---
+## 使用感（主観評価）
+### 直感性 ★★★☆☆
+`setup_middlewares()` を使うと CORS は自分で追加しなければならず、
+しかも「先に add する = 最外側になる」という反直感的な順序ルールがある。
+FastAPI や Express.js、Spring Security の CORS 設定を知っているユーザーでも
+nene2 特有の LIFO 順序で一度はつまずく。
+### 実害の深刻さ ★★★☆☆
+ブラウザからの CORS エラーは「API が動かない」として即座に表面化する。
+原因が「ミドルウェア順序」であることを特定するのに時間がかかることがある。
+特に OPTIONS プリフライトが通らないと PUT/DELETE/POST with Auth が全滅する。
+### 修正のしやすさ ★★★★★
+`setup_middlewares()` に `cors_allowed_origins` パラメーターを追加するだけ。
+CORS は最外側（最初の add_middleware）に固定できるため、
+ユーザーが順序を気にする必要がなくなる。
+```python
+# 理想の API:
+setup_middlewares(
+    app,
+    cors_allowed_origins=["https://app.example.com"],
+    cors_allow_credentials=True,
+)
+```
+### 総合コメント
+CORS は「作ったら必ず必要になる」機能でありながら、
+nene2 の `setup_middlewares()` には組み込まれていない。
+`["*"]` 禁止は CLAUDE.md のポリシーとして正しいが、
+フレームワークが強制しないと誰かが違反する。
+`cors_allowed_origins` を追加してワイルドカードを `ValueError` にすれば
+セキュリティポリシーをコードで強制できる。
+---
+## 推奨アクション
+1. **Issue**: `setup_middlewares()` に `cors_allowed_origins` パラメーターを追加
+   — `allow_origins=["*"]` を渡した場合に `ValueError` を raise
+   — CORS を最外側に自動配置（ユーザーが順序を意識しなくていい）
+2. **docs**: 複数オリジン・credentials のパターンを how-to ガイドに追加

{nene2_python-1.8.25 → nene2_python-1.8.27}/pyproject.toml RENAMED Viewed

@@ -1,6 +1,6 @@
 [project]
 name = "nene2-python"
-version = "1.8.25"
+version = "1.8.27"
 description = "NENE2 Python — minimal API framework following NENE2's design philosophy"
 readme = "README.md"
 license = {text = "MIT"}

{nene2_python-1.8.25 → nene2_python-1.8.27}/src/nene2/mcp/server.py RENAMED Viewed

@@ -27,6 +27,22 @@ class LocalMcpServer:
         """Register a function as an MCP tool."""
         return self._mcp.tool(description=description)
+    def list_tools(self) -> list[str]:
+        """Return the names of all registered tools.
+        Useful for debugging and introspection::
+            server = LocalMcpServer("my-server")
+            @server.tool("Get data")
+            def get_data() -> str: ...
+            print(server.list_tools())  # ["get_data"]
+        """
+        return [t.name for t in self._mcp._tool_manager.list_tools()]
     def run(self, transport: Literal["stdio", "sse", "streamable-http"] = "stdio") -> None:
         """Start the MCP server. Blocks until the client disconnects."""
         self._mcp.run(transport=transport)

{nene2_python-1.8.25 → nene2_python-1.8.27}/src/nene2/middleware/setup.py RENAMED Viewed

@@ -3,6 +3,7 @@
 from typing import Any
 from starlette.applications import Starlette
+from starlette.middleware.cors import CORSMiddleware
 from .domain_exception import DomainExceptionHandlerProtocol
 from .error_handler import ErrorHandlerMiddleware
@@ -15,6 +16,10 @@ from .throttle import ThrottleMiddleware
 _DEFAULT_MAX_BYTES = 1_048_576  # 1 MiB
+_CORS_ALLOW_METHODS = ["GET", "POST", "PUT", "PATCH", "DELETE", "OPTIONS"]
+_CORS_ALLOW_HEADERS = ["Authorization", "Content-Type"]
 def setup_middlewares(
     app: object,
     *,
@@ -32,6 +37,10 @@ def setup_middlewares(
     hsts: bool = False,
     csp: str | None = None,
     security_extra_no_csp_paths: list[str] | None = None,
+    cors_allowed_origins: list[str] | None = None,
+    cors_allow_credentials: bool = False,
+    cors_allow_methods: list[str] | None = None,
+    cors_allow_headers: list[str] | None = None,
 ) -> None:
     """Register all nene2 middlewares in the correct order.
@@ -41,7 +50,7 @@ def setup_middlewares(
     Effective stack (outermost → innermost)::
-        RequestId → SecurityHeaders → SizeLimit → Throttle → RequestLogging → ErrorHandler
+        CORS → RequestId → SecurityHeaders → SizeLimit → Throttle → RequestLogging → ErrorHandler
     **Minimal usage** — all options have sensible defaults::
@@ -50,6 +59,14 @@ def setup_middlewares(
         app = FastAPI()
         setup_middlewares(app)
+    **With CORS** (explicit origins required — wildcards are rejected)::
+        setup_middlewares(
+            app,
+            cors_allowed_origins=["https://app.example.com"],
+            cors_allow_credentials=True,
+        )
     **With customisation**::
         setup_middlewares(
@@ -103,13 +120,29 @@ def setup_middlewares(
         hsts: Enable Strict-Transport-Security header (default: False).
         csp: Custom Content-Security-Policy value. Defaults to nene2's built-in policy.
         security_extra_no_csp_paths: Additional paths to skip CSP (on top of /docs, /redoc).
+        cors_allowed_origins: Explicit list of allowed CORS origins.
+            Pass ``None`` (default) to skip :class:`CORSMiddleware`.
+            Passing ``["*"]`` raises :exc:`ValueError` — wildcard origins are forbidden
+            per nene2 security policy.
+        cors_allow_credentials: Allow cookies and ``Authorization`` headers in CORS
+            requests (default: False).
+        cors_allow_methods: HTTP methods exposed via CORS
+            (default: GET, POST, PUT, PATCH, DELETE, OPTIONS).
+        cors_allow_headers: Request headers exposed via CORS
+            (default: Authorization, Content-Type).
     """
     if not isinstance(app, Starlette):
         raise TypeError(f"app must be a Starlette/FastAPI instance, got {type(app)!r}")
+    if cors_allowed_origins is not None and "*" in cors_allowed_origins:
+        raise ValueError(
+            "cors_allowed_origins must not contain '*'. "
+            "wildcard CORS origins are forbidden — list explicit origins instead."
+        )
     # Add in reverse order — first added = innermost, last added = outermost.
     # Desired outermost → innermost:
-    #   RequestId → SecurityHeaders → SizeLimit → Throttle → RequestLogging → ErrorHandler
+    #   CORS → RequestId → SecurityHeaders → SizeLimit → Throttle → RequestLogging → ErrorHandler
     # 1. Innermost: ErrorHandlerMiddleware (also registers RequestValidationError handler)
     ErrorHandlerMiddleware.install(app, debug=debug, domain_handlers=domain_handlers)
@@ -144,5 +177,16 @@ def setup_middlewares(
             sec_kwargs["extra_no_csp_paths"] = security_extra_no_csp_paths
         app.add_middleware(SecurityHeadersMiddleware, **sec_kwargs)
-    # 6. Outermost: RequestIdMiddleware
+    # 6. RequestIdMiddleware
     app.add_middleware(RequestIdMiddleware)
+    # 7. Outermost: CORSMiddleware (optional) — must be outermost so OPTIONS preflight
+    #    responses are handled before any other middleware processes the request.
+    if cors_allowed_origins is not None:
+        app.add_middleware(
+            CORSMiddleware,
+            allow_origins=cors_allowed_origins,
+            allow_credentials=cors_allow_credentials,
+            allow_methods=cors_allow_methods or _CORS_ALLOW_METHODS,
+            allow_headers=cors_allow_headers or _CORS_ALLOW_HEADERS,
+        )

nene2_python-1.8.27/tests/nene2/mcp/test_server.py ADDED Viewed

@@ -0,0 +1,51 @@
+"""Tests for LocalMcpServer."""
+from nene2.mcp import LocalMcpServer
+def _make_server_with_tools() -> LocalMcpServer:
+    server = LocalMcpServer("test-server")
+    @server.tool("Get data")
+    def get_data() -> str:
+        return "data"
+    @server.tool("Post data")
+    def post_data(value: str) -> str:
+        return f"posted: {value}"
+    return server
+def test_list_tools_returns_registered_names() -> None:
+    server = _make_server_with_tools()
+    tools = server.list_tools()
+    assert "get_data" in tools
+    assert "post_data" in tools
+def test_list_tools_empty_server() -> None:
+    server = LocalMcpServer("empty-server")
+    assert server.list_tools() == []
+def test_list_tools_count() -> None:
+    server = _make_server_with_tools()
+    assert len(server.list_tools()) == 2
+def test_list_tools_returns_list_of_str() -> None:
+    server = _make_server_with_tools()
+    tools = server.list_tools()
+    assert all(isinstance(name, str) for name in tools)
+def test_tool_function_still_callable() -> None:
+    """tool() デコレーターが関数の呼び出し可能性を壊さない。"""
+    server = LocalMcpServer("callable-test")
+    @server.tool("Square")
+    def square(x: int) -> str:
+        return str(x * x)
+    assert square(3) == "9"

{nene2_python-1.8.25 → nene2_python-1.8.27}/tests/nene2/middleware/test_setup_middlewares.py RENAMED Viewed

@@ -122,3 +122,68 @@ def test_pydantic_422_formatted_as_nene2() -> None:
 def test_raises_type_error_for_non_starlette_app() -> None:
     with pytest.raises(TypeError, match="Starlette/FastAPI"):
         setup_middlewares(object())
+def test_cors_allowed_origin_returns_access_control_header() -> None:
+    app = _make_app(cors_allowed_origins=["https://app.example.com"])
+    client = TestClient(app, raise_server_exceptions=False)
+    r = client.get("/ok", headers={"Origin": "https://app.example.com"})
+    assert r.headers.get("access-control-allow-origin") == "https://app.example.com"
+def test_cors_disallowed_origin_no_header() -> None:
+    app = _make_app(cors_allowed_origins=["https://app.example.com"])
+    client = TestClient(app, raise_server_exceptions=False)
+    r = client.get("/ok", headers={"Origin": "https://evil.example.com"})
+    assert "access-control-allow-origin" not in r.headers
+def test_cors_preflight_options_returns_200() -> None:
+    app = _make_app(cors_allowed_origins=["https://app.example.com"])
+    client = TestClient(app, raise_server_exceptions=False)
+    r = client.options(
+        "/ok",
+        headers={
+            "Origin": "https://app.example.com",
+            "Access-Control-Request-Method": "GET",
+        },
+    )
+    assert r.headers.get("access-control-allow-origin") == "https://app.example.com"
+def test_cors_wildcard_origin_raises_value_error() -> None:
+    with pytest.raises(ValueError, match="wildcard"):
+        _make_app(cors_allowed_origins=["*"])
+def test_cors_none_means_no_cors_middleware() -> None:
+    app = _make_app(cors_allowed_origins=None)
+    client = TestClient(app, raise_server_exceptions=False)
+    r = client.get("/ok", headers={"Origin": "https://app.example.com"})
+    assert "access-control-allow-origin" not in r.headers
+def test_cors_credentials_can_be_enabled() -> None:
+    app = _make_app(
+        cors_allowed_origins=["https://app.example.com"],
+        cors_allow_credentials=True,
+    )
+    client = TestClient(app, raise_server_exceptions=False)
+    r = client.get("/ok", headers={"Origin": "https://app.example.com"})
+    assert r.headers.get("access-control-allow-credentials") == "true"
+def test_cors_request_id_still_present() -> None:
+    """CORS ミドルウェアと X-Request-Id が共存する。"""
+    app = _make_app(cors_allowed_origins=["https://app.example.com"])
+    client = TestClient(app, raise_server_exceptions=False)
+    r = client.get("/ok", headers={"Origin": "https://app.example.com"})
+    assert "x-request-id" in r.headers
+def test_cors_security_headers_still_present() -> None:
+    """CORS ミドルウェアとセキュリティヘッダーが共存する。"""
+    app = _make_app(cors_allowed_origins=["https://app.example.com"])
+    client = TestClient(app, raise_server_exceptions=False)
+    r = client.get("/ok", headers={"Origin": "https://app.example.com"})
+    assert r.headers.get("x-content-type-options") == "nosniff"

{nene2_python-1.8.25 → nene2_python-1.8.27}/uv.lock RENAMED Viewed

@@ -925,7 +925,7 @@ wheels = [
 [[package]]
 name = "nene2-python"
-version = "1.8.25"
+version = "1.8.27"
 source = { editable = "." }
 dependencies = [
     { name = "alembic" },

{nene2_python-1.8.25 → nene2_python-1.8.27}/.env.example RENAMED Viewed

File without changes

{nene2_python-1.8.25 → nene2_python-1.8.27}/.github/workflows/ci.yml RENAMED Viewed

File without changes

{nene2_python-1.8.25 → nene2_python-1.8.27}/.github/workflows/docs.yml RENAMED Viewed

File without changes

{nene2_python-1.8.25 → nene2_python-1.8.27}/.github/workflows/publish.yml RENAMED Viewed

File without changes

nene2-python 1.8.25__tar.gz → 1.8.27__tar.gz

nene2-python 1.8.25tar.gz → 1.8.27tar.gz