Django 1.5.4 发行说明 — Django 文档

来自菜鸟教程
Django/docs/3.0.x/releases/1.5.4
跳转至:导航、​搜索

Django 1.5.4 发行说明

2013 年 9 月 14 日

这是 Django 1.5.4,Django 1.5 系列的第四个版本。 它解决了两个安全问题和一个错误。

通过密码散列器拒绝服务

在以前的 Django 版本中,对密码的明文长度没有限制。 这允许通过提交虚假但非常大的密码进行拒绝服务攻击,占用服务器资源来执行(昂贵的,并且随着密码的长度而越来越昂贵)计算相应散列。

从 1.5.4 开始,Django 的身份验证框架对密码施加了 4096 字节的限制,并且任何提交的密码长度都将导致身份验证失败。


更正了 django.contrib.auth 管理中 sensitive_post_parameters() 的用法

使用 sensitive_post_parameters() 修饰 add_viewuser_change_password 用户管理视图不包括 method_decorator()(需要,因为视图是方法)导致装饰器没有正确应用。 此用法已得到修复,如果使用不当,sensitive_post_parameters() 现在将抛出异常。


错误修正

  • 修复了一个错误,该错误会阻止使用 prefetch_related()QuerySet 被多次腌制和取消腌制(第二次腌制尝试引发异常)(#21102)。