Catatan terbitan Django 1.4.6¶
Agustus 13, 2013
Django 1.4.6 memperbaiki satu masalah keamanan yang hadir di terbitan Django sebelumnya di rangkaian 1.4, sama halnya satu kesalahan lainnya.
Ini adalah terbitan keenam perbaikan kesalahan/keamanan di rangkaian Django 1.4.
Mengurangi kemungkinan serangan XSS melalui mengalihkan URL penyediaan-pengguna¶
Django bergantung pada masukan pengguna di beberapa kasus (sebagai contoh django.contrib.comments()
dan i18n) untuk mengalihkan pengguna ke URL "on success". Pemeriksaan keamanan untuk pengalihan ini (dinamai django.utils.http.is_safe_url()
) tidak memeriksa jika skema adalah https(s)
dan seperti diperbolehkanURL javascript:...
untuk dimasukkan. Jika seorang pengembang bergantung pada is_safe_url()
untuk menyediakan sasaran pengalihan aman dan menaruh URL seperti itu kedalam sebuah tautan, mereka dapat menderita dari serangan XSS. Kesalahan ini tidak mempengaruhi Django saat ini, karena kami hanya menaruh URL ini kedalam kepala tanggapan Location
dan peramban melihat untuk mengabaikan JavaScript disana.
Perbaikan kesalahan¶
- Diperbaiki sebuah kesalahan mengaburkan dengan penghias
override_settings()
. Jika anda mengenai sebuah pengecualian ``AttributeError: 'Settings' object has no attribute '_original_allowed_hosts'`, itu mungkin diperbaiki (#20636).