Django 3.1.10 发行说明 — Django 文档

来自菜鸟教程
Django/docs/3.1.x/releases/3.1.10
跳转至:导航、​搜索

Django 3.1.10 发行说明

2021 年 5 月 6 日

Django 3.1.10 修复了 3.1.9 中的安全问题。

CVE-2021-32052:自 URLValidator 接受 Python 3.9.5+ 输入中的换行符以来,标头注入的可能性

在 Python 3.9.5+ 上,URLValidator 没有禁止换行和制表符。 如果您在 HTTP 响应中使用带换行符的值,您可能会遭受标头注入攻击。 Django 本身并不容易受到攻击,因为 HttpResponse 禁止在 HTTP 标头中换行。

此外,使用 URLValidatorURLField 表单字段会默默地删除 Python 3.9.5+ 上的换行符和制表符,因此仅当您在外部使用此验证器时才存在换行符输入数据的可能性表单字段。

这个问题是由 :bpo:`43882` 修复引入的。