Примечания к выпуску Django 1.7.6 ¶
9 марта 2015 г.
Django 1.7.6 исправляет проблему безопасности и несколько ошибок в 1.7.5.
Снижает риск XSS-атаки с помощью свойств в ModelAdmin.readonly_fields ¶
ModelAdmin.readonly_fields Атрибут в админке Django позволяет отображать модели полей и атрибутов модели. В то время как первые сбежали правильно, вторые - нет. Таким образом, ненадежный контент может быть введен администратору, представляя вектор эксплуатации для XSS-атак.
В этой уязвимости каждый атрибут модели, используемый в нем readonly_fields , не является фактическим полем модели (например, a property ), не сможет быть экранирован, даже если этот атрибут не отмечен как безопасный. В этом выпуске автоматическое экранирование теперь применяется правильно.