Django 2.2.3发行说明

2019年7月1日

Django2.2.3修复了2.2.2中的一个安全问题和几个错误。此外,还合并了Transifex的最新字符串翻译。

CVE-2019-12781:通过HTTPS反向代理连接的HTTP检测不正确

当部署在通过HTTPS连接到Django的反向代理之后时, django.http.HttpRequest.scheme 将错误地检测通过HTTP发出的客户端请求,因为它使用了HTTPS。这会导致错误的结果 is_secure()build_absolute_uri() ,并且HTTP请求不会根据 SECURE_SSL_REDIRECT .

HttpRequest.scheme 现在尊重 SECURE_PROXY_SSL_HEADER ,如果已配置,并且在请求上为HTTP和HTTPS请求设置了适当的头。

如果将django部署在转发HTTP请求的反向代理之后,并通过HTTPS连接到django,请确保应用程序正确处理依赖于 schemeis_secure()build_absolute_uri()SECURE_SSL_REDIRECT .

错误修正

  • 修正了Django 2.2中的回归,其中 AvgStdDevVariance 与…相撞 filter 参数 (#30542

  • 修正了Django 2.2.2中的一个回归,其中自动重新加载程序崩溃 AttributeError ,例如使用时 ipdb (#30588

« previous | up | next »