Примечания к выпуску Django 1.11.21

3 июня 2019 г.,

Django 1.11.21 устраняет проблему безопасности в 1.11.20.

CVE-2019-12308: AdminURLFieldWidget XSS

Интерактивная ссылка «Текущий URL», сгенерированная при AdminURLFieldWidgetотображении предоставленного значения, не проверяет его как безопасный URL. Таким образом, непроверенное значение, хранящееся в базе данных, или значение, предоставленное в качестве полезной нагрузки параметра запроса URL, может привести к появлению интерактивной ссылки JavaScript.

AdminURLFieldWidgetтеперь проверяет предоставленное значение с помощью URLValidatorперед отображением интерактивной ссылки. Вы можете настроить валидатор, передав validator_classkwarg AdminURLFieldWidget.__init__(), например, при использовании formfield_overrides.

Copyright ©2021 All rights reserved