Примечания к выпуску Django 1.11.21 ¶
3 июня 2019 г.,
Django 1.11.21 устраняет проблему безопасности в 1.11.20.
CVE-2019-12308: AdminURLFieldWidget XSS ¶
Интерактивная ссылка «Текущий URL», сгенерированная при AdminURLFieldWidget
отображении предоставленного значения, не проверяет его как безопасный URL. Таким образом, непроверенное значение, хранящееся в базе данных, или значение, предоставленное в качестве полезной нагрузки параметра запроса URL, может привести к появлению интерактивной ссылки JavaScript.
AdminURLFieldWidget
теперь проверяет предоставленное значение с помощью
URLValidator
перед отображением интерактивной ссылки. Вы можете настроить валидатор, передав validator_class
kwarg
AdminURLFieldWidget.__init__()
, например, при использовании
formfield_overrides
.