2019年6月3日
Django 1.11.21在1.11.20中修复了一个安全问题。
可点击的“当前URL”链接由 AdminURLFieldWidget 显示提供的值,但不将其验证为安全的URL。因此,存储在数据库中的未验证值或作为URL查询参数有效负载提供的值可能导致可单击的javascript链接。
AdminURLFieldWidget 现在使用验证提供的值 URLValidator 在显示可点击链接之前。您可以通过传递 validator_class 克瓦格 AdminURLFieldWidget.__init__() ,例如使用时 formfield_overrides .
12月 18, 2023