Примечания к выпуску Django 1.7.6 ¶

9 марта 2015 г.

Django 1.7.6 исправляет проблему безопасности и несколько ошибок в 1.7.5.

Уменьшил атаку XSS с помощью свойств в `ModelAdmin.readonly_fields`¶

ModelAdmin.readonly_fieldsАтрибут в админке Django позволяет отображать модели полей и атрибутов модели. В то время как первые сбежали правильно, вторые - нет. Таким образом, ненадежный контент может быть введен администратору, представляя вектор эксплуатации для XSS-атак.

В этой уязвимости каждый атрибут модели, используемый в readonly_fieldsэтом поле, не является фактическим полем модели (например, a property), не может быть экранирован, даже если этот атрибут не отмечен как безопасный. В этом выпуске теперь корректно применяется автоматическое экранирование.

Исправления ¶

Исправлен сбой при принуждении ManyRelatedManagerк строке ( # 24352 ).
Исправлена ошибка, из-за которой при миграции не добавлялось ограничение внешнего ключа при преобразовании существующего поля во внешний ключ ( # 24447 ).

3.1
Версия документации: 3.2

Примечания к выпуску Django 1.7.6 ¶

Уменьшил атаку XSS с помощью свойств в `ModelAdmin.readonly_fields`¶

Исправления ¶

СОДЕРЖАНИЕ

Просматривать

Вы здесь:

Примечания к выпуску Django 1.7.6 ¶ window.yaContextCb.push(()=>{ Ya.Context.AdvManager.render({ renderTo: 'yandex_rtb_R-A-2008230-3', blockId: 'R-A-2008230-3' }) })

Уменьшил атаку XSS с помощью свойств в ModelAdmin.readonly_fields¶

Исправления ¶

СОДЕРЖАНИЕ

Просматривать

Вы здесь:

Примечания к выпуску Django 1.7.6 ¶

Уменьшил атаку XSS с помощью свойств в `ModelAdmin.readonly_fields`¶