Django 1.8.4 发行说明 — Django 文档

来自菜鸟教程
Django/docs/3.2.x/releases/1.8.4
跳转至:导航、​搜索

Django 1.8.4 发行说明

2015 年 8 月 18 日

Django 1.8.4 修复了 1.8.3 中的一个安全问题和几个错误。

logout() 视图中通过填充会话存储的拒绝服务可能性

以前,可以在匿名访问 django.contrib.auth.views.logout() 视图时创建会话(前提是它没有像管理员那样用 login_required() 修饰)。 这可能允许攻击者通过发送重复请求轻松创建许多新的会话记录,可能会填满会话存储或导致其他用户的会话记录被逐出。

SessionMiddleware 已修改为不再创建空会话记录,包括当 :setting:`SESSION_SAVE_EVERY_REQUEST` 处于活动状态时。


错误修正