Примечания к выпуску Django 1.7.6 ¶
9 марта 2015 г.
Django 1.7.6 исправляет проблему безопасности и несколько ошибок в 1.7.5.
Уменьшил атаку XSS с помощью свойств в ModelAdmin.readonly_fields
¶
ModelAdmin.readonly_fields
Атрибут в админке Django позволяет отображать модели полей и атрибутов модели. В то время как первые сбежали правильно, вторые - нет. Таким образом, ненадежный контент может быть введен администратору, представляя вектор эксплуатации для XSS-атак.
В этой уязвимости каждый атрибут модели, используемый в readonly_fields
этом поле, не является фактическим полем модели (например, a property
), не может быть экранирован, даже если этот атрибут не отмечен как безопасный. В этом выпуске теперь корректно применяется автоматическое экранирование.