Django 1.4.22 发行说明 — Django 文档
来自菜鸟教程
Django/docs/2.2.x/releases/1.4.22
Django 1.1.2 版本发行说明
2015 年 8 月 18 日
Django 1.11.22 修复了 1.11.21 中的一个安全问题。
它还通过禁用轮子支持来修复对 pip 7+ 的支持。 与这些版本的 pip 一起安装时,旧版本的 1.4 会默默地构建一个损坏的轮子。
logout() 视图中通过填充会话存储的拒绝服务可能性
以前,可以在匿名访问 django.contrib.auth.views.logout()
视图时创建会话(前提是它没有像管理员那样用 login_required() 修饰)。 这可能允许攻击者通过发送重复请求轻松创建许多新的会话记录,可能会填满会话存储或导致其他用户的会话记录被逐出。
SessionMiddleware 已修改为不再创建空会话记录,包括当 :setting:`SESSION_SAVE_EVERY_REQUEST` 处于活动状态时。
此外,contrib.sessions.backends.base.SessionBase.flush()
和 cache_db.SessionStore.flush()
方法已被修改以避免创建新的空会话。 第三方会话后端的维护者应检查其后端是否存在相同的漏洞,如果存在则予以纠正。