Django 1.8.15 release notes

26 september 2016

Django 1.8.15 åtgärdar ett säkerhetsproblem i 1.8.14.

Omkoppling av CSRF-skydd på en webbplats med Google Analytics

En interaktion mellan Google Analytics och Djangos cookie-parsning kan göra det möjligt för en angripare att ställa in godtyckliga cookies, vilket leder till en förbikoppling av CSRF-skydd.

Parsern för request.COOKIES har förenklats för att bättre matcha webbläsarnas beteende och för att mildra denna attack. request.COOKIES kan nu innehålla cookies som är ogiltiga enligt :rfc:`6265`` men som är möjliga att ställa in via document.cookie.