U Įwh@s2ddlTddlmZddlZGdddejZdS))*)cmf_answer_templateNc seZdZeZejjddgZfddZ ddfdd Z e d d Z e d d Z e ed ddZe ddZddddddddddg ZZS)CmfAnswerTemplatetemplate_renderget_template_fieldscs|jstddd|jr2|jjd|jdds2d|_|jdkrhd d |jgd d |jgd d |jgdd dgg}n4d d |jgd d |jgd d |jgdd dgdd tj gg}t j j |drtd|jddd|jr|j stj |_ tj||S)NueВнимание! Шаблонный ответ должен быть создан в проекте.T)abortz PPP-PR-ADMINF)objZ raise_errorZprivatecommonnamez==parentidz!= answer_typeperson)filteruTВ этом проекте уже есть шаблон с таким именем ())r Z cmf_alertZis_newZprojectZcheck_project_role_accessr r r g current_userZmodelsrgetrsupersave)selfargskwargsr __class__3./modules/servicedesk/models/cmf_answer_template.pyr s  ,  zCmfAnswerTemplate.saveT) recursivecstj|d|i|S)Nr)rdelete)rrrrrrrr"szCmfAnswerTemplate.deletecCs|jS)uhВозвращает на фронт список возможных переменных шаблона)_template_fieldsclsrrrr%sz%CmfAnswerTemplate.get_template_fieldsc Ksdd}|jdddg}tj||d}tdd}i}|D]@}t||r8t||d rht||j||<q8t||||<q8ttjj|d <t|dj|d <||j |d <||||d <t|j j|d<|S)z cSs>|jjdr*|d|jjd|jjS||jjSdS)Nzproject.servicedeskz servicedesk//)r Z logic_prefix startswithZui_namecodehref)rurlrrr portal_url.sz:CmfAnswerTemplate.prepare_template_ctx..portal_urlZ cmf_ownerr zparent.logic_prefix)fieldsT)Zfull_urlr rreportertask_urlr' client_status) rZcmfutilZ get_obj_by_idZ app_base_hrefhasattrstrr rrr%status) r!obj_idrr'r(rr&ZctxZfieldrrrprepare_template_ctx*s   z&CmfAnswerTemplate.prepare_template_ctx)returncs,td}fdd}d}t|||}|S)u* Быстрое решение чтобы прикрыть дыру. Обсудить на техкоме! Так как шаблоны может создавать любой пользователь, а не только администратор, то возможна SSTI атака на Jinja https://bcrm.carbonsoft.ru/project/List/SPR-011412?obj=Task:TEM-1625035715#stp-skb-ssti-v-shablonnyh-otveta-v-devel Разрешаем только заранее ограниченный список полей! z \{\{(.*?)\}\}cs@|d}|jkr6d|d}t|t||dS)Nu,Некорректное выражение u в шаблоне!r)groupstriprZloggingerror Exception)matchZ expressionr5r rr escape_matchRs    z6CmfAnswerTemplate.clean_template..escape_match)recompilesub)r!templateZre_expressionsr8patternZescaped_templaterr rclean_templateIs   z CmfAnswerTemplate.clean_templatecKs0||}|j|}|j|f|}|jf|S)N)r> _jinja_envZ from_stringr0Zrender)r!r/textrr<Z template_ctxrrrrbs  z!CmfAnswerTemplate.template_renderrZ responsibler@r$r)r+r r'r.r*)__name__ __module__ __qualname__Zjinja2Z Environmentr?rrZ api_methodsrr classmethodrr0r-r>rr __classcell__rrrrrs     r)Z cmf.includeZmodules.servicedesk.fieldsrr9rrrrrs