Django 1.4.6 发行说明 — Django 文档

来自菜鸟教程
Django/docs/3.0.x/releases/1.4.6
跳转至:导航、​搜索

Django 1.4.6 发行说明

2013 年 8 月 13 日

Django 1.4.6 修复了 1.4 系列之前 Django 版本中存在的一个安全问题,以及一个其他错误。

这是 Django 1.4 系列中的第六个错误修复/安全版本。

通过用户提供的重定向 URL 缓解可能的 XSS 攻击

Django 在某些情况下依赖于用户输入(例如 django.contrib.auth.views.login()django.contrib.commentsi18n) 将用户重定向到“成功”的 URL。 这些重定向的安全检查(即 django.utils.http.is_safe_url())没有检查方案是否为 http(s),因此允许输入 javascript:... URL。 如果开发人员依赖 is_safe_url() 提供安全的重定向目标并将此类 URL 放入链接中,他们可能会遭受 XSS 攻击。 这个错误目前不会影响 Django,因为我们只是把这个 URL 放在 Location 响应头中,浏览器似乎忽略了那里的 JavaScript。


错误修正

  • 修复了 override_settings() 装饰器的一个模糊错误。 如果您遇到 AttributeError: 'Settings' object has no attribute '_original_allowed_hosts' 异常,则可能已修复 (#20636)。