U Af!@s2ddlTddlmZddlZGdddejZdS))*)cmf_answer_templateNc seZdZeZejjddgZfddZ e ddZ e ddZ e e d d d Ze d d Zddddddddddg ZZS)CmfAnswerTemplatetemplate_renderget_template_fieldscs|jstddd|jr2|jjd|jdds2d|_|jdkrhd d |jgd d |jgd d |jgdd dgg}n4d d |jgd d |jgd d |jgdd dgdd tj gg}t j j |drtddd|jr|j stj |_ tj||S)NueВнимание! Шаблонный ответ должен быть создан в проекте.T)abortz PPP-PR-ADMINF)objZ raise_errorZprivatecommonnamez==parentidz!= answer_typeperson)filteruRВ этом проекте уже есть шаблон с таким именем)r Z cmf_alertZis_newZprojectZcheck_project_role_accessr r r g current_userZmodelsrgetrsupersave)selfargskwargsr __class__3./modules/servicedesk/models/cmf_answer_template.pyr s  ,   zCmfAnswerTemplate.savecCs|jS)uhВозвращает на фронт список возможных переменных шаблона)_template_fieldsclsrrrr"sz%CmfAnswerTemplate.get_template_fieldsc Ksdd}|jdddg}tj||d}tdd}i}|D]@}t||r8t||d rht||j||<q8t||||<q8ttjj|d <t|dj|d <||j |d <||||d <t|j j|d<|S)z cSs>|jjdr*|d|jjd|jjS||jjSdS)Nzproject.servicedeskz servicedesk//)r Z logic_prefix startswithZui_namecodehref)rurlrrr portal_url+sz:CmfAnswerTemplate.prepare_template_ctx..portal_urlZ cmf_ownerr zparent.logic_prefix)fieldsT)Zfull_urlr rreportertask_urlr$ client_status) rZcmfutilZ get_obj_by_idZ app_base_hrefhasattrstrr rrr"status) robj_idrr$r%rr#ZctxZfieldrrrprepare_template_ctx's   z&CmfAnswerTemplate.prepare_template_ctx)returncs,td}fdd}d}t|||}|S)u* Быстрое решение чтобы прикрыть дыру. Обсудить на техкоме! Так как шаблоны может создавать любой пользователь, а не только администратор, то возможна SSTI атака на Jinja https://bcrm.carbonsoft.ru/project/List/SPR-011412?obj=Task:TEM-1625035715#stp-skb-ssti-v-shablonnyh-otveta-v-devel Разрешаем только заранее ограниченный список полей! z \{\{(.*?)\}\}cs@|d}|jkr6d|d}t|t||dS)Nu,Некорректное выражение u в шаблоне!r)groupstriprZloggingerror Exception)matchZ expressionr2rrr escape_matchOs    z6CmfAnswerTemplate.clean_template..escape_match)recompilesub)rtemplateZre_expressionsr5patternZescaped_templaterrrclean_templateFs   z CmfAnswerTemplate.clean_templatecKs0||}|j|}|j|f|}|jf|S)N)r; _jinja_envZ from_stringr-Zrender)rr,textrr9Z template_ctxrrrr_s  z!CmfAnswerTemplate.template_renderrZ responsibler=r!r&r(r r$r+r')__name__ __module__ __qualname__Zjinja2Z Environmentr<rrZ api_methodsr classmethodrr-r*r;rr __classcell__rrrrrs    r)Z cmf.includeZmodules.servicedesk.fieldsrr6rrrrrs