Django 2.2.3 发行说明 — Django 文档
来自菜鸟教程
Django/docs/3.2.x/releases/2.2.3
Django 2.2.3 发行说明
2019 年 7 月 1 日
Django 2.2.3 修复了 2.2.2 中的一个安全问题和几个错误。 此外,还包含 Transifex 的最新字符串翻译。
CVE-2019-12781:通过 HTTPS 反向代理连接的 HTTP 检测不正确
当部署在通过 HTTPS 连接到 Django 的反向代理后面时,django.http.HttpRequest.scheme 会错误地将通过 HTTP 发出的客户端请求检测为使用 HTTPS。 这导致 is_secure() 和 build_absolute_uri() 的结果不正确,并且 HTTP 请求不会根据 :setting:`SECURE_SSL_REDIRECT` 重定向到 HTTPS ]。
HttpRequest.scheme
现在尊重 :setting:`SECURE_PROXY_SSL_HEADER`,如果它已配置,并且在请求上设置了适当的标头,对于 HTTP 和 HTTPS 请求。
如果您将 Django 部署在转发 HTTP 请求并通过 HTTPS 连接到 Django 的反向代理之后,请务必验证您的应用程序是否正确处理依赖于 scheme
、is_secure()
、[ X214X] 和 SECURE_SSL_REDIRECT
。
错误修正
- 修复了 Django 2.2 中的回归,其中 Avg、StdDev 和 Variance 与
filter
参数崩溃 (:ticket:`30542` )。 - 修复了 Django 2.2.2 中自动重载器与
AttributeError
崩溃的回归,例如 使用ipdb
(:ticket:`30588`) 时。