Примечания к выпуску Django 1.8.15

26 сентября 2016 г.

Django 1.8.15 устраняет проблему безопасности в 1.8.14.

Обход защиты CSRF на сайте с помощью Google Analytics

Взаимодействие между Google Analytics и анализом файлов cookie Django может позволить злоумышленнику установить произвольные файлы cookie, что приведет к обходу защиты CSRF.

Синтаксический анализатор для request.COOKIESупрощен, чтобы лучше соответствовать поведению браузеров и смягчить эту атаку. request.COOKIESтеперь могут содержать файлы cookie, которые недействительны в соответствии сRFC 6265, но их можно установить через document.cookie.

Copyright ©2021 All rights reserved