Django 1.8.18 发行说明 — Django 文档

来自菜鸟教程
Django/docs/3.2.x/releases/1.8.18
跳转至:导航、​搜索

Django 1.8.18 发行说明

2017 年 4 月 4 日

Django 1.8.18 修复了 1.8.17 中的两个安全问题。

CVE-2017-7233:通过用户提供的数字重定向 URL 打开重定向和可能的 XSS 攻击

Django 在某些情况下依赖于用户输入(例如 django.contrib.auth.views.login()i18n) 将用户重定向到“成功”的 URL。 这些重定向(即 django.utils.http.is_safe_url())的安全检查考虑了一些数字 URL(例如 http:999999999) 不应该是“安全”的。

此外,如果开发人员依赖 is_safe_url() 提供安全的重定向目标并将此类 URL 放入链接中,他们可能会遭受 XSS 攻击。


CVE-2017-7234:django.views.static.serve() 中的开放重定向漏洞

使用 serve() 视图恶意制作的 Django 站点 URL 可以重定向到任何其他域。 该视图不再进行任何重定向,因为它们不提供任何已知的、有用的功能。

但是请注意,此视图始终带有警告,即它并未针对生产用途进行强化,仅应用作开发辅助工具。