Tornado 3.2.1的新功能

2014年5月5日

安全修补程序

  • 所使用的有符号值格式 RequestHandler.set_secure_cookieRequestHandler.get_secure_cookie 已更改为更安全。 这是一个颠覆性的变化 . 这个 secure_cookie 功能采用新功能 version 支持cookie格式之间转换的参数。

  • 新的cookie格式修复了使用多个cookie的应用程序中可能存在的漏洞,其中一个cookie的名称是另一个cookie名称的前缀。

  • 为了尽量减少中断,默认情况下会接受旧格式的cookie,直到其过期。易受攻击的应用程序可以通过传递来拒绝旧格式的所有cookie min_version=2RequestHandler.get_secure_cookie .

  • 感谢Joost Pol of Certified Secure 用于报告此问题。

向后兼容性说明

其他变化

  • 用于加速WebSocket模块的C扩展现在可以在带有MSVC和64位模式的Windows上正确编译。回到纯Python替代方案现在可以在没有安装C编译器的MacOSX机器上正常工作。