Django 1.4.8 发行说明 — Django 文档

来自菜鸟教程
Django/docs/3.2.x/releases/1.4.8
跳转至:导航、​搜索

Django 1.4.8 发行说明

2013 年 9 月 14 日

Django 1.4.8 修复了 1.4 系列之前 Django 版本中存在的两个安全问题。

通过密码散列器拒绝服务

在以前的 Django 版本中,对密码的明文长度没有限制。 这允许通过提交虚假但非常大的密码进行拒绝服务攻击,占用服务器资源来执行(昂贵的,并且随着密码的长度而越来越昂贵)计算相应散列。

从 1.4.8 开始,Django 的身份验证框架对密码施加了 4096 字节的限制,并且任何提交的密码长度都将导致身份验证失败。


更正了 django.contrib.auth 管理中 sensitive_post_parameters() 的用法

使用 sensitive_post_parameters() 修饰 add_viewuser_change_password 用户管理视图不包括 method_decorator()(需要,因为视图是方法)导致装饰器没有正确应用。 此用法已得到修复,如果使用不当,sensitive_post_parameters() 现在将抛出异常。