Django 2.1.10 release notes¶

CVE-2019-12781: Felaktig HTTP-detektering med omvänd proxy som ansluter via HTTPS¶

Vid distribution bakom en omvänd proxy som ansluter till Django via HTTPS, skulle django.http.HttpRequest.scheme felaktigt upptäcka klientförfrågningar gjorda via HTTP som använder HTTPS. Detta medför felaktiga resultat för is_secure(), och build_absolute_uri(), och att HTTP-förfrågningar inte skulle omdirigeras till HTTPS i enlighet med SECURE_SSL_REDIRECT.

HttpRequest.scheme respekterar nu SECURE_PROXY_SSL_HEADER, om den är konfigurerad och rätt header är inställd på begäran, för både HTTP- och HTTPS-begäranden.

Om du distribuerar Django bakom en reverse-proxy som vidarebefordrar HTTP-förfrågningar och som ansluter till Django via HTTPS, se till att verifiera att din applikation korrekt hanterar kodvägar som förlitar sig på scheme, is_secure(), build_absolute_uri() och SECURE_SSL_REDIRECT.