May 6, 2021
Django 3.2.2修复了3.2.1中的安全问题和错误。
URLValidator
在Python 3.9.5+上接受输入中的换行符¶在Python3.9.5+上, URLValidator
没有禁止换行符和制表符。如果在HTTP响应中使用带换行符的值,则可能会遭受报头注入攻击。姜戈本身并不脆弱,因为 HttpResponse
禁止HTTP标头中的换行符。
此外, URLField
使用的表单域 URLValidator
在Python3.9.5+上静默删除换行符和制表符,因此只有当您在表单域之外使用此验证器时,才可能出现换行符输入数据的情况。
这个问题是由 bpo-43882 修好了。
在Django 3.2.1中的回归之后,防止了 makemigrations
通过以下方式为模型生成无限迁移 Meta.ordering
包含 OrderBy
表达式 (#32714 )。
12月 18, 2023