Django 1.8.18 发行说明 — Django 文档
来自菜鸟教程
Django/docs/3.2.x/releases/1.8.18
Django 1.8.18 发行说明
2017 年 4 月 4 日
Django 1.8.18 修复了 1.8.17 中的两个安全问题。
CVE-2017-7233:通过用户提供的数字重定向 URL 打开重定向和可能的 XSS 攻击
Django 在某些情况下依赖于用户输入(例如 django.contrib.auth.views.login()
和 i18n) 将用户重定向到“成功”的 URL。 这些重定向(即 django.utils.http.is_safe_url()
)的安全检查考虑了一些数字 URL(例如 http:999999999
) 不应该是“安全”的。
此外,如果开发人员依赖 is_safe_url()
提供安全的重定向目标并将此类 URL 放入链接中,他们可能会遭受 XSS 攻击。
CVE-2017-7234:django.views.static.serve() 中的开放重定向漏洞
使用 serve() 视图恶意制作的 Django 站点 URL 可以重定向到任何其他域。 该视图不再进行任何重定向,因为它们不提供任何已知的、有用的功能。
但是请注意,此视图始终带有警告,即它并未针对生产用途进行强化,仅应用作开发辅助工具。