Django 1.10.7 发行说明 — Django 文档

来自菜鸟教程
Django/docs/3.0.x/releases/1.10.7
跳转至:导航、​搜索

Django 1.10.7 发行说明

2017 年 4 月 4 日

Django 1.10.7 修复了 1.10.6 中的两个安全问题和一个错误。

CVE-2017-7233:通过用户提供的数字重定向 URL 打开重定向和可能的 XSS 攻击

Django 在某些情况下依赖于用户输入(例如 django.contrib.auth.views.login()i18n) 将用户重定向到“成功”的 URL。 这些重定向(即 django.utils.http.is_safe_url())的安全检查考虑了一些数字 URL(例如 http:999999999) 不应该是“安全”的。

此外,如果开发人员依赖 is_safe_url() 提供安全的重定向目标并将此类 URL 放入链接中,他们可能会遭受 XSS 攻击。


CVE-2017-7234:django.views.static.serve() 中的开放重定向漏洞

使用 serve() 视图恶意制作的 Django 站点 URL 可以重定向到任何其他域。 该视图不再进行任何重定向,因为它们不提供任何已知的、有用的功能。

但是请注意,此视图始终带有警告,即它并未针对生产用途进行强化,仅应用作开发辅助工具。


错误修正

  • 使管理员的 RelatedFieldWidgetWrapper 使用封装小部件的 value_omitted_from_data() 方法(:ticket:`27905`)。
  • 固定模型形式 default 回退 SelectMultiple (:ticket:`27993`)。