Примечания к выпуску Django 1.7.11

24 ноября 2015 г.

Django 1.7.11 исправляет проблему безопасности и ошибку потери данных в 1.7.10.

Исправлена ​​возможность утечки настроек в date фильтре шаблона

Если приложение позволяет пользователям указывать непроверенный формат дат и передает этот формат date фильтру, например , тогда злоумышленник может получить любой секрет в настройках приложения, указав ключ настроек вместо формата даты. например вместо .{{ last_updated|date:user_date_format }} "SECRET_KEY" "j/m/Y"

Чтобы исправить это, основная функция, используемая date фильтром шаблона django.utils.formats.get_format() , теперь позволяет получить доступ только к настройкам форматирования даты / времени.

Исправления

  • Исправлена ​​возможность потери данных с Prefetch if to_attr , установленным на ManyToManyField ( # 25693 ).

Copyright ©2020 All rights reserved