Django 1.10.8 release notes

5 september 2017

Django 1.10.8 åtgärdar ett säkerhetsproblem i 1.10.7.

CVE-2017-12794: Möjlig XSS i spårningsavsnittet på teknisk 500-felsökningssida

I äldre versioner var HTML-autokaptering inaktiverad i en del av mallen för den tekniska 500-felsökningssidan. Under rätt omständigheter möjliggjorde detta en cross-site scripting-attack. Denna sårbarhet bör inte påverka de flesta produktionsanläggningar eftersom du inte bör köra med DEBUG = True (vilket gör den här sidan tillgänglig) i dina produktionsinställningar.