Django 1.11.21 发行说明 — Django 文档
来自菜鸟教程
Django/docs/3.0.x/releases/1.11.21
Django 1.11.21 发行说明
2019 年 6 月 3 日
Django 1.11.21 修复了 1.11.20 中的安全问题。
CVE-2019-12308:AdminURLFieldWidget XSS
AdminURLFieldWidget
生成的可点击“当前 URL”链接显示了提供的值,但未验证它是安全 URL。 因此,存储在数据库中的未经验证的值或作为 URL 查询参数有效负载提供的值可能会导致可点击的 JavaScript 链接。
AdminURLFieldWidget
现在在显示可点击链接之前使用 URLValidator 验证提供的值。 您可以通过将 validator_class
kwarg 传递给 AdminURLFieldWidget.__init__()
来自定义验证器,例如 使用 formfield_overrides 时。