Примечания к выпуску Django 1.11.5 ¶

CVE-2017-12794: возможный XSS в разделе трассировки на странице отладки Technical 500 ¶

В более старых версиях автоматическое экранирование HTML было отключено в части шаблона для страницы технической отладки 500. При правильных обстоятельствах это позволило провести атаку с использованием межсайтовых сценариев. Эта уязвимость не должна затронуть большинство производственных сайтов, поскольку вам не следует запускать (что делает эту страницу доступной) в ваших производственных настройках.DEBUG = True

Исправления ¶

• Исправлен синтаксический анализ версии GEOS, если версия имеет хэш фиксации в конце (новое в GEOS 3.6.2) ( # 28441 ).
• Добавлена ​​совместимость для cx_Oracle6 ( # 28498 ).
• Исправлен рендеринг виджета выбора, когда значения параметров являются кортежами ( # 28502 ).
• Django 1.11 непреднамеренно изменил последовательность и схему именования триггеров в Oracle. Это вызывает ошибки INSERT для некоторых таблиц, если они находятся в части . Схема именования до 1.11 теперь восстановлена. К сожалению, это обязательно требует обновления таблиц Oracle, созданных с помощью Django 1.11. [1-4]. Используйте сценарий обновления в # 28451, комментарий 8, чтобы обновить последовательность и имена триггеров, чтобы использовать схему именования до 1.11.'use_returning_into': FalseOPTIONSDATABASES
• Добавлена ​​поддержка запросов POST LogoutViewдля эквивалентности представлению на основе функций logout()( # 28513 ).
• Пропущено pages_per_rangeот BrinIndex.deconstruct()если это None ( # 25809 ).
• Исправлена ​​регрессия, при которой годы были SelectDateWidgetлокализованы в поле выбора ( # 28530 ).
• Исправлена ​​регрессия в 1.11.4, когда произошел runserverсбой с системными кодировками, отличными от Unicode, на Python 2 + Windows ( # 28487 ).
• Исправлена ​​регрессия в Django 1.10, когда изменения в a ManyToManyField не регистрировались в истории изменений администратора ( # 27998 ), и предотвращалось ManyToManyFieldвлияние последующих изменений модели на исходные данные в формах модели ( # 28543 ).
• Исправлены недетерминированные результаты или AssertionErrorсбой в некоторых запросах с несколькими объединениями ( # 26522 ).
• Исправлена ​​регрессия в contrib.authпредставлениях login()и logout()представлениях, при которых они игнорировали позиционные аргументы ( # 28550 ).