The web framework for perfectionists with deadlines.

Dokumentation
  • dev
  • Documentation version: 5.2

Django 1.7.6 release notes

9 mars 2015

Django 1.7.6 åtgärdar ett säkerhetsproblem och flera buggar i 1.7.5.

Åtgärdade en XSS-attack via egenskaper i ModelAdmin.readonly_fields

Attributet ModelAdmin.readonly_fields i Django-admin gör det möjligt att visa modellfält och modellattribut. Medan de förra var korrekt escapade, var de senare inte det. På så sätt kunde otillförlitligt innehåll injiceras i administratören och utgöra en exploateringsvektor för XSS-attacker.

I den här sårbarheten kommer varje modellattribut som används i readonly_fields och som inte är ett faktiskt modellfält (t.ex. en property) inte att escapas även om attributet inte är markerat som säkert. I den här utgåvan tillämpas nu automatisk escaping korrekt.

Buggrättningar

  • Korrigerad krasch vid tvingande av ManyRelatedManager till en sträng (#24352).

  • Åtgärdat ett fel som hindrade migreringar från att lägga till en främmande nyckelbegränsning när ett befintligt fält konverterades till en främmande nyckel (#24447).

Back to Top

Additional Information

Support Django!

Support Django!

Contents

Getting help

FAQ
Try the FAQ — it's got answers to many common questions.
Index, Module Index, or Table of Contents
Handy when looking for specific information.
Django Discord Server
Join the Django Discord Community.
Official Django Forum
Join the community on the Django Forum.
Ticket tracker
Report bugs with Django or Django documentation in our ticket tracker.

Offline (Django 5.2): HTML | PDF | ePub
Provided by Read the Docs.