CVE-2019-12308：AdminURLFieldWidget XSS

AdminURLFieldWidget 生成的可点击“当前 URL”链接显示了提供的值，但未验证它是安全 URL。 因此，存储在数据库中的未经验证的值或作为 URL 查询参数有效负载提供的值可能会导致可点击的 JavaScript 链接。

AdminURLFieldWidget 现在在显示可点击链接之前使用 URLValidator 验证提供的值。 您可以通过将 validator_class kwarg 传递给 AdminURLFieldWidget.__init__() 来自定义验证器，例如 使用 formfield_overrides 时。