Django 1.7.11 发行说明 — Django 文档
来自菜鸟教程
Django/docs/3.2.x/releases/1.7.11
Django 1.7.11 发行说明
2015 年 11 月 24 日
Django 1.7.11 修复了 1.7.10 中的安全问题和数据丢失错误。
修复了 date 模板过滤器中设置泄漏的可能性
如果应用程序允许用户为日期指定未经验证的格式并将此格式传递给 :tfilter:`date` 过滤器,例如 模板:Last updated
,然后恶意用户可以通过指定设置键而不是日期格式来获取应用程序设置中的任何秘密。 例如 "SECRET_KEY"
代替 "j/m/Y"
。
为了解决这个问题,date
模板过滤器使用的底层函数 django.utils.formats.get_format()
现在只允许访问日期/时间格式设置。