Django 1.10.7发行说明

2017年4月4日

Django1.10.7修复了两个安全问题和1.10.6中的一个错误。

CVE-2017-7233:通过用户提供的数字重定向URL打开重定向和可能的XSS攻击

Django在某些情况下依赖于用户输入(例如 django.contrib.auth.views.login()i18n )将用户重定向到“on success”URL。这些重定向的安全检查(即 django.utils.http.is_safe_url() )考虑了一些数字URL(例如 http:999999999 )“安全”的时候,他们不应该是。

此外,如果开发人员依赖 is_safe_url() 为了提供安全的重定向目标并将这样的URL放到链接中,它们可能会遭受XSS攻击。

CVE-2017-7234:中的开放重定向漏洞 django.views.static.serve()

使用 serve() 视图可以重定向到任何其他域。视图不再执行任何重定向,因为它们不提供任何已知的、有用的功能。

但是,请注意,此视图始终带有一个警告,即它不是为生产使用而硬化的,只能用作开发辅助工具。

错误修正

  • 制作管理员 RelatedFieldWidgetWrapper 使用包装的小部件 value_omitted_from_data() 方法 (#27905

  • 固定模型窗体 default 回退 SelectMultiple (#27993

« previous | up | next »