2017年4月4日
Django 1.8.18在1.8.17中修复了两个安全问题。
Django在某些情况下依赖于用户输入(例如 django.contrib.auth.views.login() 和 i18n )将用户重定向到“on success”URL。这些重定向的安全检查(即 django.utils.http.is_safe_url() )考虑了一些数字URL(例如 http:999999999 )“安全”的时候,他们不应该是。
此外,如果开发人员依赖 is_safe_url() 为了提供安全的重定向目标并将这样的URL放到链接中,它们可能会遭受XSS攻击。
django.views.static.serve()¶使用 serve() 视图可以重定向到任何其他域。视图不再执行任何重定向,因为它们不提供任何已知的、有用的功能。
但是,请注意,此视图始终带有一个警告,即它不是为生产使用而硬化的,只能用作开发辅助工具。
7月 22, 2024