Catatan terbitan Django 1.9.10

26 September 2016

Django 1.9.10 memperbaiki sebuah masalah keamanan di 1.9.9.

Perlindungan CSRF memotong pada sebuah situs dengan Google Analytics

Sebuah interaksi diantara Google Analytics dan pengurai kue Django dapat mengizinkan seorang penyerang menyetel awalan kue berubah-ubah untuk memotong perlindungan CSRF.

Pengurai untuk request.COOKIES disederhanakan untuk lebih baik mencocokkan perilaku dari peramban dan untuk mengurangi serangan ini. request.COOKIES mungkin sekarang mengandung kue yang tidak sah menurut pada RFC 6265 tetapi dimungkinkan mensetel melalui document.cookie.

Back to Top