2017年4月4日
Django1.9.13修复了两个安全问题和1.9.12中的一个错误。这是1.9.x系列的最终版本。
Django在某些情况下依赖于用户输入(例如 django.contrib.auth.views.login() 和 i18n )将用户重定向到“on success”URL。这些重定向的安全检查(即 django.utils.http.is_safe_url() )考虑了一些数字URL(例如 http:999999999 )“安全”的时候,他们不应该是。
此外,如果开发人员依赖 is_safe_url() 为了提供安全的重定向目标并将这样的URL放到链接中,它们可能会遭受XSS攻击。
django.views.static.serve()¶使用 serve() 视图可以重定向到任何其他域。视图不再执行任何重定向,因为它们不提供任何已知的、有用的功能。
但是,请注意,此视图始终带有一个警告,即它不是为生产使用而硬化的,只能用作开发辅助工具。
修正了在 timesince 和 timeuntil 导致闰年日期结果不正确的筛选器 (#27637 )
12月 18, 2023