Django 1.5.4 发行说明 — Django 文档
来自菜鸟教程
Django/docs/3.2.x/releases/1.5.4
Django 1.5.4 发行说明
2013 年 9 月 14 日
这是 Django 1.5.4,Django 1.5 系列的第四个版本。 它解决了两个安全问题和一个错误。
通过密码散列器拒绝服务
在以前的 Django 版本中,对密码的明文长度没有限制。 这允许通过提交虚假但非常大的密码进行拒绝服务攻击,占用服务器资源来执行(昂贵的,并且随着密码的长度而越来越昂贵)计算相应散列。
从 1.5.4 开始,Django 的身份验证框架对密码施加了 4096 字节的限制,并且任何提交的密码长度都将导致身份验证失败。
更正了 django.contrib.auth 管理中 sensitive_post_parameters() 的用法
使用 sensitive_post_parameters() 修饰 add_view
和 user_change_password
用户管理视图不包括 method_decorator()(需要,因为视图是方法)导致装饰器没有正确应用。 此用法已得到修复,如果使用不当,sensitive_post_parameters() 现在将抛出异常。