Django 1.4.7 版本发行说明

Donate 来源:Django 浏览 64 扫码分享 2023-12-12 19:25:26

2013 年 9 月 10 日

Django 1.4.7 修复了 1.4 系列中之前 Django 版本存在的一个安全问题。

`ssi` 模板标签中的目录遍历漏洞

在以前的 Django 版本中，可以通过指定以允许的根目录之一开头的相对路径来绕过 ssi 模板标签用于安全性的 ALLOWED_INCLUDE_ROOTS 设置。例如，如果 ALLOWED_INCLUDE_ROOTS = ("/var/www",)，那么以下情况是可能的：

{% ssi "/var/www/../../etc/passwd" %}

实际上，这并不是一个非常常见的问题，因为它需要模板作者将 ssi 文件放入用户可控制的变量中，但从原理上讲是可能的。

当前内容版权归 Django 或其关联方所有，如需对内容或内容相关联开源项目进行关注与资助，请访问 Django .

本文档使用 BookStack 构建