2013年9月10日
Django 1.4.7修复了1.4系列中以前的Django版本中存在的一个安全问题。
在以前的Django版本中,通过指定以允许的根为起点的相对路径,可以绕过用于ssi模板标记的安全性的ALLOWED_INCLUDE_ROOTS设置。例如,如果ALLOWED_INCLUDE_ROOTS = (“/ var / www”,)
{% ssi "/var/www/../../etc/passwd" %}
在实践中,这不是一个很常见的问题,因为它需要模板作者将ssi文件放在用户控制的变量中,但原则上是可能的。
2015年5月13日