SIgHddlTddlmZddlZGddejZdS))*)cmf_answer_templateNceZdZeZejjddgzZfdZ ddfd Z e dZ e dZ e d efd Ze d Z gd ZxZS) CmfAnswerTemplatetemplate_renderget_template_fieldsc,|jstdd|jr)|jd|jdsd|_|jdkr!d d |jgd d |jgd d |jggdg}n.d d |jgd d |jgd d |jggddd tj gg}tj |rtd|jdd|jr|j stj |_ tj|i|S)NueВнимание! Шаблонный ответ должен быть создан в проекте.T)abortz PPP-PR-ADMINF)obj raise_errorprivatecommonname==parentidz!=) answer_typerr)rrr person)filteruTВ этом проекте уже есть шаблон с таким именем ())r cmf_alertis_newprojectcheck_project_role_accessrrrg current_usermodelsrgetrsupersave)selfargskwargsr __class__s 3./modules/servicedesk/models/cmf_answer_template.pyr zCmfAnswerTemplate.save s{ K }FJ K K K K ; )t|EEnZ^ZftyEzz )(D   x ' 'tTY/(D$+1NQUW[]a]dPehGhGhGHFFtTY/(D$+1NQUW[]a]dPe66648XZF  # ' 'v ' 6 6 G ymqmvyyyBF G G G G ; )t{ ).DKuww|T,V,,,T) recursivec:tj|d|i|S)Nr')rdelete)r!r'r"r#r$s r%r)zCmfAnswerTemplate.delete"s#uww~tCyCFCCCr&c|jS)uhВозвращает на фронт список возможных переменных шаблона)_template_fields)clss r%rz%CmfAnswerTemplate.get_template_fields%s ##r&c 0d}|jgdz}t||}td}i}|D]^}t ||rLt ||drt ||j||<Ft ||||<_t tjj|d<t |dj|d <||j |d <||||d <t |j j|d <|S) z c|jjdr|d|jjd|jjS||jjS)Nzproject.servicedeskz servicedesk//)r logic_prefix startswithui_namecodehref)r urls r% portal_urlz:CmfAnswerTemplate.prepare_template_ctx..portal_url.sXz&112GHH 1QQ3:+=QQ QQQ0sz000r&) cmf_ownerrzparent.logic_prefix)fieldsT)full_urlrrr7reportertask_urlr6 client_status) r+cmfutil get_obj_by_id app_base_hrefhasattrstrrrrr4status) r,obj_idr#r6r8r r5ctxfields r%prepare_template_ctxz&CmfAnswerTemplate.prepare_template_ctx*s/ 1 1 1 %(V(V(VV##F6#::T*** 1 1EsE"" 13u:v..1!$SZ_!5!5CJJ!$SZCJ!!."566Nc+.344J ,#(,,J&JsC00L"3:?33O r&returncjtjd}fd}d}tj|||}|S)u* Быстрое решение чтобы прикрыть дыру. Обсудить на техкоме! Так как шаблоны может создавать любой пользователь, а не только администратор, то возможна SSTI атака на Jinja https://bcrm.carbonsoft.ru/project/List/SPR-011412?obj=Task:TEM-1625035715#stp-skb-ssti-v-shablonnyh-otveta-v-devel Разрешаем только заранее ограниченный список полей! z \{\{(.*?)\}\}c|d}|jvr/d|d}t|t ||dS)Nu,Некорректное выражение u в шаблоне!r)groupstripr+loggingerror Exception)match expressionrNr,s r% escape_matchz6CmfAnswerTemplate.clean_template..escape_matchRslQ--//J!555fzfff e$$$&&&;;q>> !r&)recompilesub)r,templatere_expressionsrRpatternescaped_templates` r%clean_templatez CmfAnswerTemplate.clean_templateIsPO44 " " " " "#6'<BBr&c ||}|j|}|j|fi|}|jdi|S)N)rZ _jinja_env from_stringrFrender)r,rCtextr#rV template_ctxs r%rz!CmfAnswerTemplate.template_renderbs\!!$''>--d33/s/AA&AA x.....r&) r responsibler`r3r:r<rr6rBr;)__name__ __module__ __qualname__jinja2 Environmentr]rr api_methodsr r) classmethodrrFrArZrr+ __classcell__)r$s@r%rrs##%%J%7C  !G  K -----,'+DDDDDDD$$[$[<    [ 0//[/ PPPr&r) cmf.includemodules.servicedesk.fieldsrrSrr\r&r%rmsx:::::: rPrPrPrPrP+=rPrPrPrPrPr&