Django 2.1.9 发行说明 — Django 文档

来自菜鸟教程
Django/docs/3.2.x/releases/2.1.9
跳转至:导航、​搜索

Django 2.1.9 发行说明

2019 年 6 月 3 日

Django 2.1.9 修复了 2.1.8 中的安全问题。

CVE-2019-12308:AdminURLFieldWidget XSS

AdminURLFieldWidget 生成的可点击“当前 URL”链接显示了提供的值,但未验证它是安全 URL。 因此,存储在数据库中的未经验证的值或作为 URL 查询参数有效负载提供的值可能会导致可点击的 JavaScript 链接。

AdminURLFieldWidget 现在在显示可点击链接之前使用 URLValidator 验证提供的值。 您可以通过将 validator_class kwarg 传递给 AdminURLFieldWidget.__init__() 来自定义验证器,例如 使用 formfield_overrides 时。


为 CVE-2019-11358 修补捆绑的 jQuery:原型污染

jQuery 3.4.0 之前,由于 Object.prototype 污染,错误处理 jQuery.extend(true, {}, ...)。 如果未净化的源对象包含可枚举的 __proto__ 属性,则它可以扩展本机 Object.prototype

Django 管理员使用的 jQuery 捆绑版本已被修补,以允许 select2 库使用 jQuery.extend()