Примечания к выпуску Django 1.7.11 ¶
24 ноября 2015 г.
Django 1.7.11 исправляет проблему безопасности и ошибку потери данных в 1.7.10.
Исправлена возможность утечки настроек в dateфильтре шаблона ¶
Если приложение позволяет пользователям указывать непроверенный формат для дат и передает этот формат dateфильтру, например
, тогда злоумышленник может получить любой секрет в настройках приложения, указав ключ настроек вместо формата даты. например вместо .{{ last_updated|date:user_date_format }}"SECRET_KEY""j/m/Y"
Чтобы исправить это, основная функция, используемая dateфильтром шаблона
django.utils.formats.get_format(), теперь позволяет получить доступ только к настройкам форматирования даты / времени.
