Django 1.7.6 发行说明 — Django 文档
来自菜鸟教程
Django/docs/3.0.x/releases/1.7.6
Django 1.7.6 发行说明
2015 年 3 月 9 日
Django 1.7.6 修复了 1.7.5 中的一个安全问题和几个错误。
通过 ModelAdmin.readonly_fields 中的属性缓解 XSS 攻击
Django 管理中的 ModelAdmin.readonly_fields 属性允许显示模型字段和模型属性。 虽然前者被正确地逃脱了,但后者却没有。 因此,不受信任的内容可能会被注入到管理员中,从而为 XSS 攻击提供了一个利用向量。
在此漏洞中,readonly_fields
中使用的每个模型属性都不是实际模型字段(例如 property
) 将 无法转义 ,即使该属性未标记为安全。 在此版本中,现在可以正确应用自动转义。
错误修正
- 修复了将
ManyRelatedManager
强制转换为字符串时的崩溃 (:ticket:`24352`)。 - 修复了在将现有字段转换为外键 (:ticket:`24447`) 时阻止迁移添加外键约束的错误。