Примечания к выпуску Django 2.2.3 ¶
1 июля 2019 г.,
Django 2.2.3 устраняет проблему безопасности и несколько ошибок в 2.2.2. Кроме того, включены последние переводы строк от Transifex.
CVE-2019-12781: неправильное определение HTTP при подключении через обратный прокси-сервер через HTTPS ¶
При развертывании за обратным прокси-сервером, подключающимся к Django через HTTPS,
django.http.HttpRequest.scheme он неправильно обнаруживал клиентские запросы, сделанные через HTTP, как с использованием HTTPS. Это влечет за собой неверные результаты для
is_secure() , и
build_absolute_uri() , и что HTTP-запросы не будут перенаправлены на HTTPS в соответствии с
SECURE_SSL_REDIRECT .
HttpRequest.scheme теперь уважает SECURE_PROXY_SSL_HEADER , если он настроен, и соответствующий заголовок установлен в запросе, как для HTTP, так и для HTTPS-запросов.
При развертывании Django за обратным прокси-форвардов HTTP - запросы , которые, и подключается к Джанго через HTTPS, кислым , чтобы подтвердить выполнение Это правильно обрабатывает пути кода Полагаясь являются scheme , is_secure() ,
build_absolute_uri() , и SECURE_SSL_REDIRECT .