Tornado 4.4.2的新功能

2016年10月1日

安全修补程序

  • Tornado和Web浏览器(尤其是与Google Analytics结合使用时)之间的cookie解析差异可能允许攻击者设置任意cookie并绕过XSRF保护。已重写cookie解析器以修复此攻击。

向后兼容性说明

  • 包含特定特殊字符(特别是分号和方括号)的cookie现在的解析方式不同。

  • 如果cookie头包含有效和无效cookie的组合,则返回有效的cookie(旧版本的Tornado将拒绝单个无效cookie的整个头)。