4 april 2017
Django 1.8.18 åtgärdar två säkerhetsproblem i 1.8.17.
Django förlitar sig på användarinmatning i vissa fall (t.ex. django.contrib.auth.views.login() och i18n) för att omdirigera användaren till en ”on success” URL. Säkerhetskontrollen för dessa omdirigeringar (nämligen django.utils.http.is_safe_url()) ansåg att vissa numeriska webbadresser (t.ex. http:999999999) var ”säkra” när de inte borde vara det.
Om en utvecklare förlitar sig på is_safe_url() för att tillhandahålla säkra omdirigeringsmål och lägger in en sådan URL i en länk, kan de också drabbas av en XSS-attack.
django.views.static.serve()¶En skadligt utformad URL till en Django-webbplats som använder vyn serve() kan omdirigera till vilken annan domän som helst. Vyn gör inte längre några omdirigeringar eftersom de inte ger någon känd, användbar funktionalitet.
Observera dock att denna vy alltid har försetts med en varning om att den inte är härdad för produktionsanvändning och endast bör användas som ett utvecklingshjälpmedel.
aug. 11, 2025