Примечания к выпуску Django 1.7.11 ¶
24 ноября 2015 г.
Django 1.7.11 исправляет проблему безопасности и ошибку потери данных в 1.7.10.
Исправлена возможность утечки настроек в date
фильтре шаблона ¶
Если приложение позволяет пользователям указывать непроверенный формат дат и передает этот формат date
фильтру, например
, тогда злоумышленник может получить любой секрет в настройках приложения, указав ключ настроек вместо формата даты. например вместо .{{ last_updated|date:user_date_format }}
"SECRET_KEY"
"j/m/Y"
Чтобы исправить это, основная функция, используемая date
фильтром шаблона
django.utils.formats.get_format()
, теперь позволяет получить доступ только к настройкам форматирования даты / времени.