Django 1.11.5 发行说明 — Django 文档
来自菜鸟教程
Django/docs/3.2.x/releases/1.11.5
Django 1.11.5 发行说明
2017 年 9 月 5 日
Django 1.11.5 修复了 1.11.4 中的一个安全问题和几个错误。
CVE-2017-12794:技术 500 调试页面的回溯部分中可能存在 XSS
在旧版本中,技术 500 调试页面模板的一部分中禁用了 HTML 自动转义。 在适当的情况下,这允许跨站点脚本攻击。 此漏洞不应影响大多数生产站点,因为您不应在生产设置中使用 DEBUG = True
(使该页面可访问)运行。
错误修正
- 如果版本末尾有提交哈希,则修复了 GEOS 版本解析(GEOS 3.6.2 中的新功能)(:ticket:`28441`)。
- 添加了
cx_Oracle
6 的兼容性(:ticket:`28498`)。 - 修复了选项值为元组时的选择小部件呈现([x61x]:票证:`28502` [x80x])。
- Django 1.11 无意中更改了 Oracle 上的序列和触发器命名方案。 如果
'use_returning_into': False
位于DATABASES
的OPTIONS
部分,这会导致某些表的插入错误。 1.11 之前的命名方案现已恢复。 不幸的是,它必然需要对使用 Django 1.11.[1-4] 创建的 Oracle 表进行更新。 使用 :ticket:`28451` 注释 8 中的升级脚本更新序列和触发器名称以使用 1.11 之前的命名方案。 - 为
LogoutView
添加了 POST 请求支持,以等效于基于函数的logout()
视图 (:ticket:`28513`)。 - 如果是
None
,则从BrinIndex.deconstruct()
中省略pages_per_range
(:ticket:`25809`)。 - 修复了
SelectDateWidget
在选择框中本地化年份的回归 (:ticket:`28530`)。 - 修复了 1.11.4 中的回归,其中
runserver
在 Python 2 + Windows 上因非 Unicode 系统编码崩溃(:ticket:`28487`)。 - 修复了 Django 1.10 中的回归,其中
ManyToManyField
的更改未记录在管理更改历史记录 (:ticket:`27998`) 中并阻止ManyToManyField
初始数据模型形式不受后续模型更改的影响(:ticket:`28543`)。 - 修复了某些具有多个连接的查询中的不确定性结果或
AssertionError
崩溃 (:ticket:`26522`)。 - 修复了
contrib.auth
的login()
和logout()
视图中忽略位置参数的回归(:ticket:`28550`)。