Agustus 13, 2013
Ini adalah Django 1.5.2, terbitan perbaikan kesalahan dan keamanan untuk Django 1.5.
Django relies on user input in some cases (e.g.
django.contrib.auth.views.login()
, django.contrib.comments
, and
i18n) to redirect the user to an "on success" URL.
The security checks for these redirects (namely
django.utils.http.is_safe_url()
) didn't check if the scheme is http(s)
and as such allowed javascript:...
URLs to be entered. If a developer
relied on is_safe_url()
to provide safe redirect targets and put such a
URL into a link, they could suffer from a XSS attack. This bug doesn't affect
Django currently, since we only put this URL into the Location
response
header and browsers seem to ignore JavaScript there.
django.contrib.admin
¶Jika sebuah URLField
di Django 1.5, itu menampilkan nilai saat ini dari bidang dan sebuah tautan pada sasaran di halaman merubah admin. Rutin tampilan dari widget ini telah cacar dan diizinkan untuk XSS.
prefetch_related()
(#19607) sama halnya beberapa pemulihan pickle
dengan prefetch_related
(#20157 and #20257).django.contrib.gis
di keluaran Google Map pada Pyhton 3 (#20773).teardown_databases
untuk mencoba merobohkan nama lain (#20681).django.core.cache.backends.memcached.MemcachedCache
metode get_many()
backend pada Python 3 (#20722).django.contrib.humanize
. Bahasa terpengaruh: Meksiko Spanyol, Mongolia, Rumania, Turki (#20695).get()
berulang tidak terbatas (#20278).makemessages
tidak lagi gagal dengan UnicodeDecodeError
(#20354).geojson
dengan SpatiaLite.assertContains()
sekali lagi bekerja denganisi biner (#20237).ManyToManyField
if it has a Unicode name
parameter (#20207).SCRIPT_NAME
atau pengaturan FORCE_SCRIPT_NAME
, terlepas dari apapun atau tidak baik mempunyai buntutan garis miring (#20169).override_settings()
. Jika anda mengenai sebuah pengecualian ``AttributeError: 'Settings' object has no attribute '_original_allowed_hosts'`, itu mungkin diperbaiki (#20636).Mei 07, 2024