Returned 403 on dubious history request

2021-02-19 10:18:47 +01:00 · 2021-02-19 10:18:47 +01:00 · 89fc309c01
parent 9303772f9a
commit 89fc309c01
1 changed files with 4 additions and 3 deletions
--- a/kfet/views.py
+++ b/kfet/views.py
@ -1491,9 +1491,10 @@ def history_json(request):
        if account.cofprofile.user.id == request.user.id:
            limit_date = False  # pas de limite de date sur son propre historique
    # Un non-membre de l'équipe n'a que accès à son historique
-    if not request.user.has_perm("kfet.is_team"):
-        opegroups = opegroups.filter(on_acc=request.user.profile.account_kfet)
-        limit_date = False  # pas de limite de date sur son propre historique
+    elif not request.user.has_perm("kfet.is_team"):
+        # un non membre de la kfet doit avoir le champ account
+        # pré-rempli, cette requête est douteuse
+        return JsonResponse({}, status=403)
    if limit_date:
        # limiter l'accès à l'historique ancien pour confidentialité
        earliest_date = datetime.today() - settings.KFET_HISTORY_DATE_LIMIT