Django 1.11.21 版本发行说明

Donate 来源:Django 浏览 78 扫码分享 2023-12-12 19:23:52

Django 1.11.21 版本发行说明
- CVE-2019-12308 ： AdminURLFieldWidget 跨站脚本攻击（XSS）

Django 1.11.21 版本发行说明

2019 年 6 月 3 日

Django 1.11.21 修复了 1.11.20 中的一个安全问题。

CVE-2019-12308 ： AdminURLFieldWidget 跨站脚本攻击（XSS）

由 AdminURLFieldWidget 生成的可点击的 “当前 URL” 链接显示了提供的值，而没有将其验证为安全的 URL。因此，存储在数据库中的未经验证的值，或者作为 URL 查询参数有效载荷提供的值，都可能导致可点击的 JavaScript 链接。

现在，在显示可点击链接之前，AdminURLFieldWidget 使用 URLValidator 对提供的值进行验证。您可以通过将 validator_class 关键字参数传递给 AdminURLFieldWidget.__init__() 来自定义验证器，例如在使用 formfield_overrides 时。

当前内容版权归 Django 或其关联方所有，如需对内容或内容相关联开源项目进行关注与资助，请访问 Django .

本文档使用 BookStack 构建