Tornado 4.4.2的新功能¶
2016年10月1日¶
安全修补程序¶
Tornado和Web浏览器(尤其是与Google Analytics结合使用时)之间的cookie解析差异可能允许攻击者设置任意cookie并绕过XSRF保护。已重写cookie解析器以修复此攻击。
向后兼容性说明¶
包含特定特殊字符(特别是分号和方括号)的cookie现在的解析方式不同。
如果cookie头包含有效和无效cookie的组合,则返回有效的cookie(旧版本的Tornado将拒绝单个无效cookie的整个头)。