Примечания к выпуску Django 1.8.15 ¶
26 сентября 2016 г.
Django 1.8.15 устраняет проблему безопасности в 1.8.14.
Обход защиты CSRF на сайте с помощью Google Analytics ¶
Взаимодействие между Google Analytics и анализом файлов cookie Django может позволить злоумышленнику установить произвольные файлы cookie, что приведет к обходу защиты CSRF.
Синтаксический анализатор для request.COOKIES
упрощен, чтобы лучше соответствовать поведению браузеров и смягчить эту атаку. request.COOKIES
теперь могут содержать файлы cookie, которые недействительны в соответствии сRFC 6265, но их можно установить через
document.cookie
.