2013年9月14日
这是django 1.5.4,是django 1.5系列中的第四个版本。它解决了两个安全问题和一个bug。
在Django的早期版本中,没有对密码的明文长度进行限制。这允许通过提交伪造但非常大的密码进行拒绝服务攻击,将服务器资源捆绑在一起,执行相应哈希的计算(代价高昂,而且随着密码的长度而越来越昂贵)。
从1.5.4开始,Django的认证框架对密码施加4096字节的限制,并且将无法使用任何提交的更大长度的密码进行认证。
sensitive_post_parameters() 在里面 django.contrib.auth 管理员¶装饰 add_view 和 user_change_password 用户管理视图 sensitive_post_parameters() 不包括 method_decorator() (因为视图是方法,所以是必需的)导致未正确应用修饰符。此用法已被修复,并且 sensitive_post_parameters() 如果使用不当,将引发异常。
修复了阻止 QuerySet 使用的 prefetch_related() 多次腌制和剥除(第二次腌制尝试引发了一个例外)(21102)。
7月 22, 2024