Django 1.8.15发行说明
2016年9月26日
Django 1.8.15在1.8.14中修复了一个安全问题。
使用Google Analytics在站点上绕过CSRF保护
Google Analytics和Django的cookie解析之间的交互可能允许攻击者设置任意cookie,从而绕过CSRF保护。
解析器 request.COOKIES
被简化以更好地匹配浏览器的行为并减轻这种攻击。 request.COOKIES
现在可能包含无效的cookie,根据 RFC 6265 但是可以通过 document.cookie
.