Django 1.10.8 版本发行说明¶
2017 年 9 月 5 日
Django 1.10.8 修复了 1.10.7 中的一个安全问题。
CVE-2017-12794 :技术性 500 调试页面的追踪部分可能存在 XSS 漏洞¶
在旧版本中,在技术性的 500 调试页面模板的一部分中禁用了 HTML 自动转义。在正确的情况下,这可能导致跨站点脚本攻击。这个漏洞不应影响大多数生产站点,因为你不应该在生产设置中运行 DEBUG = True
(这使得这个页面可访问)。
Please take a few minutes to complete the
2024 Django Developers Survey.
Your feedback will help guide future efforts.
2017 年 9 月 5 日
Django 1.10.8 修复了 1.10.7 中的一个安全问题。
在旧版本中,在技术性的 500 调试页面模板的一部分中禁用了 HTML 自动转义。在正确的情况下,这可能导致跨站点脚本攻击。这个漏洞不应影响大多数生产站点,因为你不应该在生产设置中运行 DEBUG = True
(这使得这个页面可访问)。
离线 (Django 5.1):
HTML |
PDF |
ePub
由 Read the Docs 提供。
© 2005-2024 Django Software Foundation and individual contributors. Django is a registered trademark of the Django Software Foundation.