Django 1.11.5 发行说明 — Django 文档

来自菜鸟教程
Django/docs/3.0.x/releases/1.11.5
跳转至:导航、​搜索

Django 1.11.5 发行说明

2017 年 9 月 5 日

Django 1.11.5 修复了 1.11.4 中的一个安全问题和几个错误。

CVE-2017-12794:技术 500 调试页面的回溯部分中可能存在 XSS

在旧版本中,技术 500 调试页面模板的一部分中禁用了 HTML 自动转义。 在适当的情况下,这允许跨站点脚本攻击。 此漏洞不应影响大多数生产站点,因为您不应在生产设置中使用 DEBUG = True(使该页面可访问)运行。


错误修正

  • 如果版本末尾有提交哈希,则修复了 GEOS 版本解析(GEOS 3.6.2 中的新功能)(:ticket:`28441`)。
  • 添加了 cx_Oracle 6 的兼容性(:ticket:`28498`)。
  • 修复了选项值为元组时的选择小部件呈现([x61x]:票证:`28502` [x80x])。
  • Django 1.11 无意中更改了 Oracle 上的序列和触发器命名方案。 如果 'use_returning_into': False 位于 DATABASESOPTIONS 部分,这会导致某些表的插入错误。 1.11 之前的命名方案现已恢复。 不幸的是,它必然需要对使用 Django 1.11.[1-4] 创建的 Oracle 表进行更新。 使用 :ticket:`28451` 注释 8 中的升级脚本更新序列和触发器名称以使用 1.11 之前的命名方案。
  • LogoutView 添加了 POST 请求支持,以等效于基于函数的 logout() 视图 (:ticket:`28513`)。
  • 如果是 None,则从 BrinIndex.deconstruct() 中省略 pages_per_range:ticket:`25809`)。
  • 修复了 SelectDateWidget 在选择框中本地化年份的回归 (:ticket:`28530`)。
  • 修复了 1.11.4 中的回归,其中 runserver 在 Python 2 + Windows 上因非 Unicode 系统编码崩溃(:ticket:`28487`)。
  • 修复了 Django 1.10 中的回归,其中 ManyToManyField 的更改未记录在管理更改历史记录 (:ticket:`27998`) 中并阻止 ManyToManyField 初始数据模型形式不受后续模型更改的影响(:ticket:`28543`)。
  • 修复了某些具有多个连接的查询中的不确定性结果或 AssertionError 崩溃 (:ticket:`26522`)。
  • 修复了 contrib.authlogin()logout() 视图中忽略位置参数的回归(:ticket:`28550`)。