From 89fc309c01320c848ed93c25e2357683e3863679 Mon Sep 17 00:00:00 2001
From: Dorian Lesbre <dorian.lesbre@gmail.com>
Date: Fri, 19 Feb 2021 10:18:47 +0100
Subject: [PATCH] Returned 403 on dubious history request

---
 kfet/views.py | 7 ++++---
 1 file changed, 4 insertions(+), 3 deletions(-)

diff --git a/kfet/views.py b/kfet/views.py
index 7245f3bf..efb0aed3 100644
--- a/kfet/views.py
+++ b/kfet/views.py
@@ -1491,9 +1491,10 @@ def history_json(request):
         if account.cofprofile.user.id == request.user.id:
             limit_date = False  # pas de limite de date sur son propre historique
     # Un non-membre de l'équipe n'a que accès à son historique
-    if not request.user.has_perm("kfet.is_team"):
-        opegroups = opegroups.filter(on_acc=request.user.profile.account_kfet)
-        limit_date = False  # pas de limite de date sur son propre historique
+    elif not request.user.has_perm("kfet.is_team"):
+        # un non membre de la kfet doit avoir le champ account
+        # pré-rempli, cette requête est douteuse
+        return JsonResponse({}, status=403)
     if limit_date:
         # limiter l'accès à l'historique ancien pour confidentialité
         earliest_date = datetime.today() - settings.KFET_HISTORY_DATE_LIMIT