主机头中毒

几个早期的 Django 安全版本专注于中毒 HTTP Host 标头的问题，导致 Django 生成指向任意、潜在恶意域的 URL。

为了响应收到的进一步输入和上一版本之后持续问题的报告，我们正在采取额外措施来加强主机标头验证。 Django 的 Host 标头验证尝试支持更小但更常见的子集，而不是尝试在此处容纳 HTTP 支持的所有功能：

• 主机名必须由字符 [A-Za-z0-9] 加上连字符 ('-') 或点 ('.') 组成。
• 允许使用 IP 地址（IPv4 和 IPv6）。
• 端口（如果指定）是数字。

现在将拒绝任何偏离，引发异常 django.core.exceptions.SuspiciousOperation。

重定向中毒

还跟进了之前的问题：今年 7 月，我们对 Django 的 HTTP 重定向类进行了更改，对要重定向到的 URL 方案进行了额外的验证（因为，在 Django 自己提供的应用程序和许多第三方应用程序中，接受用户提供的重定向目标是一种常见模式）。

从那以后，对代码的两次独立审计发现了进一步的潜在问题。 因此，类似于 Host-header 问题，我们正在采取措施提供更严格的验证以响应报告的问题（主要是第三方应用程序，但在一定程度上也在 Django 内部）。 这分为两部分：

1. 增加了一个新的效用函数django.utils.http.is_safe_url； 这个函数接受一个 URL 和一个主机名，并检查 URL 是相对的，还是绝对匹配提供的主机名。 此功能旨在在接受用户提供的重定向目标时使用，以确保此类重定向不会导致任意第三方站点。

2. 所有 Django 自己的内置视图——主要是在身份验证系统中——允许用户提供的重定向目标现在使用 is_safe_url 来验证提供的 URL。