2016 年 9 月 26 日
Django 1.8.15 修复了 1.8.14 版本中的一个安全问题。
Google Analytics 和 Django 的 cookie 解析之间的交互可能允许攻击者设置任意的 Cookie,从而绕过 CSRF 保护。
request.COOKIES 的解析器被简化,以更好地匹配浏览器的行为并减轻此攻击。request.COOKIES 现在可以包含根据 RFC 6265 无效但可以通过 document.cookie 设置的 cookie。
request.COOKIES
document.cookie
Django 1.8.16 版本发行说明
Django 1.8.14 版本发行说明
12月 04, 2023