Примечания к выпуску Django 1.11.5

5 сентября 2017 г.

Django 1.11.5 исправляет проблему безопасности и несколько ошибок в 1.11.4.

CVE-2017-12794: возможный XSS в разделе трассировки на странице отладки Technical 500

В более старых версиях автоматическое экранирование HTML было отключено в части шаблона для страницы технической отладки 500. При определенных обстоятельствах это позволило провести атаку с использованием межсайтовых сценариев. Эта уязвимость не должна затрагивать большинство производственных сайтов, поскольку вам не следует запускать (что делает эту страницу доступной) в ваших производственных настройках.DEBUG = True

Исправления

  • Исправлен синтаксический анализ версии GEOS, если в конце есть хэш фиксации (новое в GEOS 3.6.2) ( # 28441 ).
  • Добавлена ​​совместимость для cx_Oracle 6 ( # 28498 ).
  • Исправлен рендеринг виджета выбора, когда значения параметров являются кортежами ( # 28502 ).
  • Django 1.11 непреднамеренно изменил последовательность и схему именования триггеров в Oracle. Это вызывает ошибки при вставках INSERT для некоторых таблиц, если они находятся в части . Схема именования до 1.11 теперь восстановлена. К сожалению, это обязательно требует обновления таблиц Oracle, созданных с помощью Django 1.11. [1-4]. Используйте сценарий обновления в # 28451 комментарии 8, чтобы обновить последовательность и имена триггеров, чтобы использовать схему именования до 1.11.'use_returning_into': False OPTIONS DATABASES
  • Добавлена ​​поддержка запросов POST LogoutView для эквивалентности представлению на основе функций logout() ( # 28513 ).
  • Пропущено pages_per_range от BrinIndex.deconstruct() если это None ( # 25809 ).
  • Исправлена ​​регрессия, при которой годы были SelectDateWidget локализованы в поле выбора ( # 28530 ).
  • Исправлена ​​регрессия в 1.11.4, где произошел runserver сбой с системными кодировками, отличными от Unicode, на Python 2 + Windows ( # 28487 ).
  • Исправлена ​​регрессия в Django 1.10, когда изменения в a ManyToManyField не регистрировались в истории изменений администратора ( # 27998 ), и предотвращалось ManyToManyField влияние последующих изменений модели на исходные данные в формах модели ( # 28543 ).
  • Исправлены недетерминированные результаты или AssertionError сбой в некоторых запросах с несколькими объединениями ( # 26522 ).
  • Исправлена ​​регрессия в contrib.auth представлениях login() и logout() представлениях, при которых они игнорировали позиционные аргументы ( # 28550 ).

Copyright ©2020 All rights reserved