1 juli 2019
Django 2.1.10 åtgärdar ett säkerhetsproblem i 2.1.9.
Vid distribution bakom en omvänd proxy som ansluter till Django via HTTPS, skulle django.http.HttpRequest.scheme felaktigt upptäcka klientförfrågningar gjorda via HTTP som använder HTTPS. Detta medför felaktiga resultat för is_secure(), och build_absolute_uri(), och att HTTP-förfrågningar inte skulle omdirigeras till HTTPS i enlighet med SECURE_SSL_REDIRECT.
HttpRequest.scheme respekterar nu SECURE_PROXY_SSL_HEADER, om den är konfigurerad och rätt header är inställd på begäran, för både HTTP- och HTTPS-begäranden.
Om du distribuerar Django bakom en reverse-proxy som vidarebefordrar HTTP-förfrågningar och som ansluter till Django via HTTPS, se till att verifiera att din applikation korrekt hanterar kodvägar som förlitar sig på scheme, is_secure(), build_absolute_uri() och SECURE_SSL_REDIRECT.
aug. 11, 2025