Примечания к выпуску Django 1.11.21 ¶

CVE-2019-12308: AdminURLFieldWidget XSS ¶

Интерактивная ссылка «Текущий URL», сгенерированная при AdminURLFieldWidget отображении предоставленного значения, не проверяет его как безопасный URL. Таким образом, непроверенное значение, хранящееся в базе данных, или значение, предоставленное в качестве полезной нагрузки параметра запроса URL, может привести к появлению интерактивной ссылки JavaScript.

AdminURLFieldWidget теперь проверяет предоставленное значение с помощью URLValidator перед отображением интерактивной ссылки. Вы можете настроить валидатор, передав validator_class kwarg AdminURLFieldWidget.__init__() , например, при использовании formfield_overrides .