2022 年 2 月 1 日
Django 4.0.2 修复了两个"中等"严重性的安全问题,以及 4.0.1 版本中的几个错误。此外,最新的 Transifex 字符串翻译已经整合,特别提及保加利亚语(完全翻译)。
{% debug %}
模板标签进行跨站脚本攻击 (XSS) 攻击¶{% debug %}
模板标签没有正确编码当前上下文,存在跨站脚本攻击 (XSS) 攻击风险。
为了避免这个漏洞,当 DEBUG
设置为 False
时,{% debug %}
不再输出信息,并且在 DEBUG
设置为 True
时,它确保所有上下文变量都正确地进行了转义。
传递特定的输入到多部分表单可能导致在解析文件时进入无限循环。
TestCase.captureOnCommitCallbacks()
可能会多次执行回调函数(#33410)。help_text
进行 HTML 转义(#33419)。ResolverMatch
的 repr
不正确(#33426)。Meta.order_with_respect_to
但具有名为 _order
的字段的模型上运行 makemigrations
时崩溃(#33449)。ModelAdmin.radio_fields
布局不正确(#33407)。annotate()
后调用 QuerySet.aggregate()
时崩溃(#33468)。makemigrations
时崩溃(#33480)。12月 04, 2023