2013年9月10日
Django1.4.7修复了1.4系列中以前的Django版本中存在的一个安全问题。
ssi 模板标签¶在先前版本的Django中,可以绕过 ALLOWED_INCLUDE_ROOTS 用于安全的设置 ssi 模板标记,通过指定以允许的根目录之一开头的相对路径。例如,如果 ALLOWED_INCLUDE_ROOTS = ("/var/www",) 可能出现以下情况:
{% ssi "/var/www/../../etc/passwd" %}
实际上,这不是一个很常见的问题,因为它需要模板作者将 ssi 文件在用户控制的变量中,但原则上是可能的。
12月 18, 2023