Returned 403 on dubious history request

This commit is contained in:
Dorian Lesbre 2021-02-19 10:18:47 +01:00
parent 9303772f9a
commit 89fc309c01

View file

@ -1491,9 +1491,10 @@ def history_json(request):
if account.cofprofile.user.id == request.user.id:
limit_date = False # pas de limite de date sur son propre historique
# Un non-membre de l'équipe n'a que accès à son historique
if not request.user.has_perm("kfet.is_team"):
opegroups = opegroups.filter(on_acc=request.user.profile.account_kfet)
limit_date = False # pas de limite de date sur son propre historique
elif not request.user.has_perm("kfet.is_team"):
# un non membre de la kfet doit avoir le champ account
# pré-rempli, cette requête est douteuse
return JsonResponse({}, status=403)
if limit_date:
# limiter l'accès à l'historique ancien pour confidentialité
earliest_date = datetime.today() - settings.KFET_HISTORY_DATE_LIMIT