Agustus 13, 2013
Ini adalah Django 1.5.2, terbitan perbaikan kesalahan dan keamanan untuk Django 1.5.
Django bergantung pada masukan pengguna di beberapa kasus (sebagai contoh django.contrib.comments()
dan i18n) untuk mengalihkan pengguna ke URL "on success". Pemeriksaan keamanan untuk pengalihan ini (dinamai django.utils.http.is_safe_url()
) tidak memeriksa jika skema adalah https(s)
dan seperti diperbolehkanURL javascript:...
untuk dimasukkan. Jika seorang pengembang bergantung pada is_safe_url()
untuk menyediakan sasaran pengalihan aman dan menaruh URL seperti itu kedalam sebuah tautan, mereka dapat menderita dari serangan XSS. Kesalahan ini tidak mempengaruhi Django saat ini, karena kami hanya menaruh URL ini kedalam kepala tanggapan Location
dan peramban melihat untuk mengabaikan JavaScript disana.
django.contrib.admin
¶Jika sebuah URLField
di Django 1.5, itu menampilkan nilai saat ini dari bidang dan sebuah tautan pada sasaran di halaman merubah admin. Rutin tampilan dari widget ini telah cacar dan diizinkan untuk XSS.
prefetch_related()
(#19607) sama halnya beberapa pemulihan pickle
dengan prefetch_related
(#20157 and #20257).django.contrib.gis
di keluaran Google Map pada Pyhton 3 (#20773).teardown_databases
untuk mencoba merobohkan nama lain (#20681).django.core.cache.backends.memcached.MemcachedCache
metode get_many()
backend pada Python 3 (#20722).django.contrib.humanize
. Bahasa terpengaruh: Meksiko Spanyol, Mongolia, Rumania, Turki (#20695).get()
berulang tidak terbatas (#20278).makemessages
tidak lagi gagal dengan UnicodeDecodeError
(#20354).geojson
dengan SpatiaLite.assertContains()
sekali lagi bekerja denganisi biner (#20237).ManyToManyField
jika itu mempunyai parameter name
unicode (#20207).SCRIPT_NAME
atau pengaturan FORCE_SCRIPT_NAME
, terlepas dari apapun atau tidak baik mempunyai buntutan garis miring (#20169).override_settings()
. Jika anda mengenai sebuah pengecualian ``AttributeError: 'Settings' object has no attribute '_original_allowed_hosts'`, itu mungkin diperbaiki (#20636).Des 02, 2017