Django 1.4.6 release notes

2013年8月13日

Django 1.4.6修复了1.4系列中以前的Django版本中存在的一个安全问题,以及另一个错误。

这是Django 1.4系列中的第六个bug修复/安全版本。

Mitigated possible XSS attack via user-supplied redirect URLs

Django在一些情况下依赖于用户输入(例如,django.contrib.auth.views.login()django.contrib.commentsi18n)将用户重定向到“on成功“URL。这些重定向的安全检查(即django.utils.http.is_safe_url())未检查方案是否为http(s),因此允许javascript:...要输入的网址。如果开发人员依赖is_safe_url()提供安全的重定向目标,并将这样的URL放入链接,他们可能遭受XSS攻击。这个bug目前不影响Django,因为我们只把这个URL放在Location响应头中,浏览器似乎忽略了JavaScript。

Bugfixes

  • 使用override_settings()装饰器修复了一个模糊的错误。If you hit an AttributeError: 'Settings' object has no attribute '_original_allowed_hosts' exception, it’s probably fixed (#20636).