May 6, 2021
Django 2.2.22修复了2.2.21中的一个安全问题。
URLValidator
在Python 3.9.5+上接受输入中的换行符¶在Python3.9.5+上, URLValidator
没有禁止换行符和制表符。如果在HTTP响应中使用带换行符的值,则可能会遭受报头注入攻击。姜戈本身并不脆弱,因为 HttpResponse
禁止HTTP标头中的换行符。
此外, URLField
使用的表单域 URLValidator
在Python3.9.5+上静默删除换行符和制表符,因此只有当您在表单域之外使用此验证器时,才可能出现换行符输入数据的情况。
这个问题是由 bpo-43882 修好了。
12月 18, 2023