2019年6月3日
Django 2.1.9修复了2.1.8中的安全问题。
可点击的“当前URL”链接由 AdminURLFieldWidget
显示提供的值,但不将其验证为安全的URL。因此,存储在数据库中的未验证值或作为URL查询参数有效负载提供的值可能导致可单击的javascript链接。
AdminURLFieldWidget
现在使用验证提供的值 URLValidator
在显示可点击链接之前。您可以通过传递 validator_class
克瓦格 AdminURLFieldWidget.__init__()
,例如使用时 formfield_overrides
.
jquery 3.4.0之前的错误处理 jQuery.extend(true, {{}}, ...)
因为 Object.prototype
污染。如果未初始化的源对象包含可枚举的 __proto__
属性,它可以扩展本机 Object.prototype
.
django管理员使用的jquery捆绑版本已进行了修补,以允许 select2
类库使用 jQuery.extend()
.
12月 18, 2023