Catatan terbitan Django 1.5.2

Agustus 13, 2013

Ini adalah Django 1.5.2, terbitan perbaikan kesalahan dan keamanan untuk Django 1.5.

Mengurangi kemungkinan serangan XSS melalui mengalihkan URL penyediaan-pengguna

Django relies on user input in some cases (e.g. django.contrib.auth.views.login(), django.contrib.comments, and i18n) to redirect the user to an "on success" URL. The security checks for these redirects (namely django.utils.http.is_safe_url()) didn't check if the scheme is http(s) and as such allowed javascript:... URLs to be entered. If a developer relied on is_safe_url() to provide safe redirect targets and put such a URL into a link, they could suffer from a XSS attack. This bug doesn't affect Django currently, since we only put this URL into the Location response header and browsers seem to ignore JavaScript there.

Kerentanan XSS di django.contrib.admin

Jika sebuah URLField di Django 1.5, itu menampilkan nilai saat ini dari bidang dan sebuah tautan pada sasaran di halaman merubah admin. Rutin tampilan dari widget ini telah cacar dan diizinkan untuk XSS.

Perbaikan kesalahan

  • Diperbaiki sebuah kegagalan dengan prefetch_related() (#19607) sama halnya beberapa pemulihan pickle dengan prefetch_related (#20157 and #20257).
  • Diperbaiki sebuah pemulihan di django.contrib.gis di keluaran Google Map pada Pyhton 3 (#20773).
  • Dibuat DjangoTestSuiteRunner.setup_databases` dengan benar menangani nama lain untuk basisdata awalan (#19940) dan dicegah teardown_databases untuk mencoba merobohkan nama lain (#20681).
  • Diperbaiki django.core.cache.backends.memcached.MemcachedCache metode get_many() backend pada Python 3 (#20722).
  • Diperbaiki kesalahan sintaksis terjemahan django.contrib.humanize. Bahasa terpengaruh: Meksiko Spanyol, Mongolia, Rumania, Turki (#20695).
  • Ditambahkan dukungan untuk paket wheel (#19252).
  • Token CSRF sekarang berputar ketika pengguna masuk.
  • Beberapa perbaikan kesesuaian Python 3 termasuk #20212 dan #20025.
  • Diperbaiki beberapa kasus jarang dimana pengecualian get() berulang tidak terbatas (#20278).
  • makemessages tidak lagi gagal dengan UnicodeDecodeError (#20354).
  • Diperbaiki penemuan geojson dengan SpatiaLite.
  • assertContains() sekali lagi bekerja denganisi biner (#20237).
  • Diperbaiki ManyToManyField jika itu mempunyai parameter name unicode (#20207).
  • Pastikan bahwa jalur permintaan WSGI benar berdasarkan di variabel lingkungan SCRIPT_NAME atau pengaturan FORCE_SCRIPT_NAME, terlepas dari apapun atau tidak baik mempunyai buntutan garis miring (#20169).
  • Diperbaiki sebuah kesalahan mengaburkan dengan penghias override_settings(). Jika anda mengenai sebuah pengecualian ``AttributeError: 'Settings' object has no attribute '_original_allowed_hosts'`, itu mungkin diperbaiki (#20636).
Catatan terbitan Django 1.5.3
Catatan terbitan Django 1.5.1
Back to Top