Django 1.11.21 版本发行说明¶

2019 年 6 月 3 日

Django 1.11.21 修复了 1.11.20 中的一个安全问题。

CVE-2019-12308 ： AdminURLFieldWidget 跨站脚本攻击（XSS）¶

由 AdminURLFieldWidget 生成的可点击的 "当前 URL" 链接显示了提供的值，而没有将其验证为安全的 URL。因此，存储在数据库中的未经验证的值，或者作为 URL 查询参数有效载荷提供的值，都可能导致可点击的 JavaScript 链接。

现在，在显示可点击链接之前，AdminURLFieldWidget 使用 URLValidator 对提供的值进行验证。您可以通过将 validator_class 关键字参数传递给 AdminURLFieldWidget.__init__() 来自定义验证器，例如在使用 formfield_overrides 时。

Django 1.11.22 版本发行说明

Django 1.11.20 版本发行说明

内容

Django 1.11.21 版本发行说明
- CVE-2019-12308 ： AdminURLFieldWidget 跨站脚本攻击（XSS）

浏览

当前位置

Django 5.1 文档
- 发行说明
  - Django 1.11.21 版本发行说明

FAQ: 尝试查看 FAQ — 它包括了很多常见问题的答案
索引, 模块索引, or 目录: 查找特定信息时比较容易
django-users mailing list: 在 django-users 邮件列表存档中搜索信息，或者发布一个问题。
#django IRC channel: 在 #django IRC 频道上提问，或者搜索 IRC 历史找到相似的问题与解答。
Django Discord Server: Join the Django Discord Community.
Official Django Forum: Join the community on the Django Forum.
Ticket tracker: 在我们的 `ticket tracker`_ 中报告 Django 或 Django 文档的 Bug。

下载：

离线 (Django 5.1): HTML | PDF | ePub
由 Read the Docs 提供。

文档

Django 1.11.21 版本发行说明¶

CVE-2019-12308 ： AdminURLFieldWidget 跨站脚本攻击（XSS）¶

附加信息

Support Django!

内容

浏览

当前位置

获取帮助

下载：

Django Links

Learn More

Get Involved

Get Help

Follow Us

Support Us