Fix #2910 - Usuário sem permissão acessa Proposição pela url (#2963)

5 years ago · c7d5259d4d
2 changed files with 163 additions and 153 deletions
--- a/sapl/materia/views.py
+++ b/sapl/materia/views.py
@ -782,7 +782,8 @@ class ProposicaoCrud(Crud):
        def get(self, request, *args, **kwargs):

            action = request.GET.get('action', '')
-            username = request.user.username
+            user = request.user
+            username = user.username

            if not action:
                return Crud.DetailView.get(self, request, *args, **kwargs)
@ -790,7 +791,7 @@ class ProposicaoCrud(Crud):
            p = Proposicao.objects.get(id=kwargs['pk'])

            msg_error = ''
-            if p:
+            if p and p.autor.user == user:
                if action == 'send':
                    if p.data_envio and p.data_recebimento:
                        msg_error = _('Proposição já foi enviada e recebida.')
--- a/sapl/templates/materia/proposicao_detail.html
+++ b/sapl/templates/materia/proposicao_detail.html
@ -3,6 +3,7 @@
 {% load tz %}
 {% block sub_actions %}
  {{block.super}}
+  {% if user == object.autor.user  %}
    <div class="actions btn-group btn-group-sm {%block sub_actions_pull%}{% endblock%}" role="group">
      {% if object.texto_articulado.exists %}
        <a class="btn btn-success" href="{% url 'sapl.materia:proposicao_ta' object.pk%}">{% trans "Texto Eletrônico" %}</a>
@ -11,10 +12,11 @@
        <a class="btn btn-success" href="{% url 'sapl.materia:proposicao_texto' object.pk %}">{% trans "Texto Original" %}</a>
      {% endif %}
    </div>
+  {% endif %}
 {% endblock sub_actions%}
 {% block editions %}
-  {% if object.data_envio %}
  {% if user == object.autor.user  %}
+    {% if object.data_envio %}
        {% block editions_actions_return %}
          <div class="actions btn-group" role="group">
            <a class="btn btn-outline-primary" onclick="window.open('{% url 'sapl.materia:recibo-proposicao' object.pk %}','Recibo','width=1100, height=600, scrollbars=yes')">{% trans "Recibo de Envio" %}</a>
@ -23,7 +25,6 @@
            {% endif %}
          </div>
      {% endblock %}
-    {% endif %}
    {% else %}
      {% block editions_actions_send %}
        <div class="actions btn-group" role="group">
@ -35,8 +36,10 @@
        </div>
      {% endblock %}
    {% endif %}
+  {% endif %}
 {% endblock editions %}
 {% block detail_content %}
+  {% if user == object.autor.user  %}
    <h2 class="legend">{% model_verbose_name 'sapl.materia.models.Proposicao' %}</h2>
    <div class="row">
      <div class="col-sm-3">
@ -203,4 +206,10 @@
        {% endif %}
      </div>
    {% endif %}
+  {% else %}
+    <br><br>
+    <div class="alert alert-danger alert-dismissible" role="alert">
+      <h3>Você não tem acesso a essa Proposição porque não é de sua autoria.</h3>
+    </div>
+  {% endif %}
 {% endblock detail_content %}