Django 1.7.6发行说明

2015年3月9日

Django1.7.6修复了1.7.5中的一个安全问题和几个错误。

通过中的属性缓解XSS攻击 ModelAdmin.readonly_fields

这个 ModelAdmin.readonly_fields django管理中的属性允许显示模型字段和模型属性。前者是正确逃脱的,后者则不是。因此,不受信任的内容可以被注入到管理中,为XSS攻击提供了一个利用载体。

在该漏洞中,中使用的每个模型属性 readonly_fields 这不是实际的模型字段(例如 property 意志 未能逃脱 即使该属性没有标记为安全。在这个版本中,自动转义现在被正确应用。

错误修正

  • 修复了强制时的崩溃 ManyRelatedManager 串 (#24352

  • 修复了在将现有字段转换为外键时阻止迁移添加外键约束的错误。 (#24447

« previous | up | next »