Примечания к выпуску Django 1.11.22 ¶

CVE-2019-12781: неправильное определение HTTP при подключении обратного прокси через HTTPS ¶

При развертывании за обратным прокси-сервером, подключающимся к Django через HTTPS, django.http.HttpRequest.scheme он неправильно обнаруживал клиентские запросы, сделанные через HTTP, как с использованием HTTPS. Это влечет за собой неверные результаты для is_secure() , и build_absolute_uri() , и что HTTP-запросы не будут перенаправлены на HTTPS в соответствии с SECURE_SSL_REDIRECT .

HttpRequest.scheme теперь уважает SECURE_PROXY_SSL_HEADER , если он настроен, и соответствующий заголовок установлен в запросе, как для HTTP, так и для HTTPS-запросов.

При развертывании Django за реверс-прокси , который передает HTTP запросы, и который подключается к Джанго через HTTPS, обязательно убедитесь , что приложение корректно обрабатывает код пути , опираясь на scheme , is_secure() , build_absolute_uri() и SECURE_SSL_REDIRECT .