4 April 2017
Django 1.10.7 memperbaiki dua masalah keamanan dan beberapa kesalahan di 1.10.6.
Django bergantung pada masukan pengguna dalam beberapa kasus (misalnya django.contrib.auth.views.login()
dan i18n) untuk mengalihkan pengguna ke sebuah URL "sukses". Pemeriksaan keamanan untuk pengalihan ini (namanya django.utils.http.is_safe_url()
) dianggap beberapa numerik URL (misalnya http:999999999
) "aman" padahal seharusnya tidak.
Juga, jika seorang pengembang bergantung pada is_safe_url()
untuk menyediakan sasaran pengalihan dan menaruh URL seperti itu kedalam sebuah tautan, mereka dapat menderita dari serangan XSS.
django.views.static.serve()
¶URL yang dibuat berbahaya pada situs Django menggunakan tampilan serve()
dapat mengalihkan ke ranah lain. Tampilan tidak lagi melakukan pengalihan apapun ketika mereka tidak memberikan apapun yang diketahui, fungsionalitas berguna.
Catat, bagaimanapun bahwa tampilan ini selalu membawa peringatan yang itu tidak mengeras untuk penggunaan produksi dan harus digunakan hanya sebagai bantuan pengembangan.
Agu 03, 2022