Django 1.4.7 发行说明 — Django 文档

来自菜鸟教程
Django/docs/3.1.x/releases/1.4.7
跳转至:导航、​搜索

Django 1.4.7 发行说明

2013 年 9 月 10 日

Django 1.4.7 修复了 1.4 系列之前 Django 版本中存在的一个安全问题。

ssi 模板标签中的目录遍历漏洞

在以前的 Django 版本中,通过指定以允许的根之一开头的相对路径,可以绕过用于安全性的 ALLOWED_INCLUDE_ROOTS 设置 ssi 模板标签。 例如,如果 ALLOWED_INCLUDE_ROOTS = ("/var/www",) 可能出现以下情况:

{% ssi "/var/www/../../etc/passwd" %}

在实践中,这不是一个很常见的问题,因为它需要模板作者将 ssi 文件放在用户控制的变量中,但原则上是可能的。