Примечания к выпуску Django 2.1.10 ¶
1 июля 2019 г.,
Django 2.1.10 устраняет проблему безопасности в версии 2.1.9.
CVE-2019-12781: неправильное определение HTTP при подключении через обратный прокси-сервер через HTTPS ¶
При развертывании за обратным прокси-сервером, подключающимся к Django через HTTPS,
django.http.HttpRequest.scheme
он неправильно обнаруживал клиентские запросы, сделанные через HTTP, как с использованием HTTPS. Это влечет за собой неверные результаты для
is_secure()
, и
build_absolute_uri()
, и что HTTP-запросы не будут перенаправлены на HTTPS в соответствии с
SECURE_SSL_REDIRECT
.
HttpRequest.scheme
теперь уважает SECURE_PROXY_SSL_HEADER
, если он настроен, и соответствующий заголовок установлен в запросе, как для HTTP-, так и для HTTPS-запросов.
При развертывании Django за реверс-прокси , который передает HTTP запросы, и который подключается к Джанго через HTTPS, обязательно убедитесь , что приложение корректно обрабатывает код пути , опираясь на scheme
, is_secure()
,
build_absolute_uri()
и SECURE_SSL_REDIRECT
.