@iLddlddlmZddlZGddejZy))*)cmf_answer_templateNceZdZej ZejjddgzZfdZ ddfd Z e dZ e dZ e d efd Ze d Z gd ZxZS) CmfAnswerTemplatetemplate_renderget_template_fieldsc|js tddtj|j}|j r|j d|dsd|_|jj|jdk(r0d d |jgd d |jgd d |jggdg}nAd d |jgd d |jgd d |jggddd tjgg}tjj|rtd|jdd|j r!|j stj|_t#|H|i|S)NueВнимание! Шаблонный ответ должен быть создан в проекте.T)abortz PPP-PR-ADMINF)obj raise_errorprivatecommonname==parentidz!=) answer_typerr)rrr person)filteruTВ этом проекте уже есть шаблон с таким именем ())r cmf_alertAPPget_cache_project project_idis_newcheck_project_role_accessrloadrrg current_usermodelsrgetrsupersave)selfargskwargsprojectr __class__s 3./modules/servicedesk/models/cmf_answer_template.pyr#zCmfAnswerTemplate.save sa{{ }FJ K''8 ;;w@@U\jo@p(D     x 'tTYY/(D$++1NQUW[]a]d]dPehGHFtTYY/(D$++1NQUW[]a]d]dPe648XZF  # # ' 'v ' 6 lmqmvmvlwwxyBF G ;;t{{..DKw|T,V,,T) recursivec&t||d|i|S)Nr+)r"delete)r$r+r%r&r(s r)r-zCmfAnswerTemplate.delete%sw~tCyCFCCr*c|jS)uhВозвращает на фронт список возможных переменных шаблона)_template_fields)clss r)rz%CmfAnswerTemplate.get_template_fields(s###r*c d}|jgdz}tj||}td}i}|D]K}t ||st ||drt ||j ||<;t ||||<Mt tjj |d<t |dj |d <||j|d <||||d <t |jj |d <|S) z c|jjjdr2|d|jjd|jjS||jj S)Nzproject.servicedeskz servicedesk//)r logic_prefix startswithui_namecodehref)r urls r) portal_urlz:CmfAnswerTemplate.prepare_template_ctx..portal_url1s^zz&&112GHl3::+=+=*>a ?PQQszz/00r*) cmf_ownerrzparent.logic_prefix)fieldsT)full_urlrrr;reportertask_urlr: client_status) r/cmfutil get_obj_by_id app_base_hrefhasattrstrrrrr8status) r0obj_idr&r:r<r r9ctxfields r)prepare_template_ctxz&CmfAnswerTemplate.prepare_template_ctx-s 1 %%(VV##F6#:T* 1EsE"3u:v.!$SZ__!5CJ!$SZCJ  1"!.."5"56Nc+.334J E#((,J&sC0L"3::??3O r*returncntjd}fd}d}tj|||}|S)u* Быстрое решение чтобы прикрыть дыру. Обсудить на техкоме! Так как шаблоны может создавать любой пользователь, а не только администратор, то возможна SSTI атака на Jinja https://bcrm.carbonsoft.ru/project/List/SPR-011412?obj=Task:TEM-1625035715#stp-skb-ssti-v-shablonnyh-otveta-v-devel Разрешаем только заранее ограниченный список полей! z \{\{(.*?)\}\}c|jdj}|jvr&d|d}tj |t ||jdS)Nu,Некорректное выражение u в шаблоне!r)groupstripr/loggingerror Exception)match expressionrRr0s r) escape_matchz6CmfAnswerTemplate.clean_template..escape_matchUs[Q--/J!5!55FzlRef e$&&;;q> !r*)recompilesub)r0templatere_expressionsrVpatternescaped_templates` r)clean_templatez CmfAnswerTemplate.clean_templateLs:O4 "#66'<Br*c |j|}|jj|}|j|fi|}|jdi|S)N)r^ _jinja_env from_stringrJrender)r0rGtextr&rZ template_ctxs r)rz!CmfAnswerTemplate.template_renderesQ!!$'>>--d3/s//A&A x...r*) r responsiblerdr7r>r@rr:rFr?)__name__ __module__ __qualname__jinja2 Environmentrarr api_methodsr#r- classmethodrrJrEr^rr/ __classcell__)r(s@r)rrs##%J%77CC  !G  K -2'+D$$<   0// Pr*r) cmf.includemodules.servicedesk.fieldsrrWrr`r*r)rqs%: uP+==uPr*