Django 2.0.8 发行说明 — Django 文档

来自菜鸟教程
Django/docs/3.2.x/releases/2.0.8
跳转至:导航、​搜索

Django 2.0.8 发行说明

2018 年 8 月 1 日

Django 2.0.8 修复了 2.0.7 中的一个安全问题和几个错误。

CVE-2018-14574:在 CommonMiddleware 中打开重定向的可能性

如果 CommonMiddleware:setting:`APPEND_SLASH` 设置都启用,并且项目的 URL 模式接受以斜杠结尾的任何路径(许多内容管理系统都有这样的模式),那么对该站点的恶意制作的 URL 的请求可能会导致重定向到另一个站点,从而实现网络钓鱼和其他攻击。

CommonMiddleware 现在转义前导斜杠以防止重定向到其他域。


错误修正

  • 修复了 Django 2.0.7 中的回归,该回归破坏了 MariaDB 上的 regex 查找(即使 MariaDB 不受官方支持)(:ticket:`29544`)。
  • 修复了在 template_string 参数懒惰时 django.template.Template 崩溃的回归 (:ticket:`29617`)。