May 6, 2021
Django 3.1.10修复了3.1.9中的一个安全问题。
URLValidator 在Python 3.9.5+上接受输入中的换行符¶在Python3.9.5+上, URLValidator 没有禁止换行符和制表符。如果在HTTP响应中使用带换行符的值,则可能会遭受报头注入攻击。姜戈本身并不脆弱,因为 HttpResponse 禁止HTTP标头中的换行符。
此外, URLField 使用的表单域 URLValidator 在Python3.9.5+上静默删除换行符和制表符,因此只有当您在表单域之外使用此验证器时,才可能出现换行符输入数据的情况。
这个问题是由 bpo-43882 修好了。
12月 18, 2023