Django 1.10.7 发行说明 — Django 文档
来自菜鸟教程
Django/docs/3.1.x/releases/1.10.7
Django 1.10.7 发行说明
2017 年 4 月 4 日
Django 1.10.7 修复了 1.10.6 中的两个安全问题和一个错误。
CVE-2017-7233:通过用户提供的数字重定向 URL 打开重定向和可能的 XSS 攻击
Django 在某些情况下依赖于用户输入(例如 django.contrib.auth.views.login()
和 i18n) 将用户重定向到“成功”的 URL。 这些重定向(即 django.utils.http.is_safe_url()
)的安全检查考虑了一些数字 URL(例如 http:999999999
) 不应该是“安全”的。
此外,如果开发人员依赖 is_safe_url()
提供安全的重定向目标并将此类 URL 放入链接中,他们可能会遭受 XSS 攻击。
CVE-2017-7234:django.views.static.serve() 中的开放重定向漏洞
使用 serve() 视图恶意制作的 Django 站点 URL 可以重定向到任何其他域。 该视图不再进行任何重定向,因为它们不提供任何已知的、有用的功能。
但是请注意,此视图始终带有警告,即它并未针对生产用途进行强化,仅应用作开发辅助工具。
错误修正
- 使管理员的
RelatedFieldWidgetWrapper
使用封装小部件的value_omitted_from_data()
方法(:ticket:`27905`)。 - 固定模型形式
default
回退SelectMultiple
(:ticket:`27993`)。