2015年11月24日
Django1.7.11修复了1.7.10中的安全问题和数据丢失错误。
date 模板滤波器¶如果应用程序允许用户为日期指定未验证的格式,并将此格式传递给 date 过滤器,例如 {{{{ last_updated|date:user_date_format }}}} 然后,恶意用户可以通过指定设置密钥而不是日期格式来获取应用程序设置中的任何秘密。例如 "SECRET_KEY" 而不是 "j/m/Y" .
要解决此问题,需要使用 date 模板过滤器, django.utils.formats.get_format() ,现在只允许访问日期/时间格式设置。
7月 22, 2024