2020 年 6 月 3 日
Django 3.0.7 修复了 3.0.6 版本中的两个安全问题和多个错误。
在某些情况下,如果一个 memcached 后端没有执行键验证,传递格式不正确的缓存键可能会导致键碰撞和潜在的数据泄露。为了避免这个漏洞,将键验证添加到 memcached 缓存后端。
ForeignKeyRawIdWidget
进行跨站脚本攻击 (XSS) 攻击¶管理员 ForeignKeyRawIdWidget
的查询参数未正确进行 URL 编码,存在跨站脚本攻击 (XSS) 风险。现在,ForeignKeyRawIdWidget
确保查询参数正确进行了 URL 编码。
Meta.ordering
中使用字段查找的功能,修复了 Django 3.0 中的一个回归问题 (#31538)。QuerySet.values()
和 values_list()
会崩溃 (#31566)。Exists()
注释,那么 QuerySet.values()
和 values_list()
会崩溃 (#31584)。Subquery()
表达式被视为相等 (#31607)。12月 04, 2023