Django 1.4.7 发行说明 — Django 文档
来自菜鸟教程
Django/docs/3.1.x/releases/1.4.7
Django 1.4.7 发行说明
2013 年 9 月 10 日
Django 1.4.7 修复了 1.4 系列之前 Django 版本中存在的一个安全问题。
ssi 模板标签中的目录遍历漏洞
在以前的 Django 版本中,通过指定以允许的根之一开头的相对路径,可以绕过用于安全性的 ALLOWED_INCLUDE_ROOTS
设置 ssi
模板标签。 例如,如果 ALLOWED_INCLUDE_ROOTS = ("/var/www",)
可能出现以下情况:
{% ssi "/var/www/../../etc/passwd" %}
在实践中,这不是一个很常见的问题,因为它需要模板作者将 ssi
文件放在用户控制的变量中,但原则上是可能的。