Примечания к выпуску Django 1.10.8

5 сентября 2017 г.

Django 1.10.8 устраняет проблему безопасности в 1.10.7.

CVE-2017-12794: возможный XSS в разделе трассировки на странице отладки Technical 500

В более старых версиях автоматическое экранирование HTML было отключено в части шаблона для страницы технической отладки 500. При определенных обстоятельствах это позволило провести атаку с использованием межсайтовых сценариев. Эта уязвимость не должна затронуть большинство производственных сайтов, поскольку вам не следует запускать (что делает эту страницу доступной) в ваших производственных настройках.DEBUG = True

Copyright ©2020 All rights reserved