2015年3月9日
Django1.7.6修复了1.7.5中的一个安全问题和几个错误。
ModelAdmin.readonly_fields¶这个 ModelAdmin.readonly_fields django管理中的属性允许显示模型字段和模型属性。前者是正确逃脱的,后者则不是。因此,不受信任的内容可以被注入到管理中,为XSS攻击提供了一个利用载体。
在该漏洞中,中使用的每个模型属性 readonly_fields 这不是实际的模型字段(例如 property 意志 未能逃脱 即使该属性没有标记为安全。在这个版本中,自动转义现在被正确应用。
12月 18, 2023