Django 2.0.8 版本发行说明¶
2018 年 8 月 1 日
Django 2.0.8 修复了 2.0.7 版本中的一个安全问题和一些错误。
CVE-2018-14574: CommonMiddleware
中存在开放重定向漏洞的可能性。¶
如果同时启用了 CommonMiddleware
和 APPEND_SLASH
设置,并且项目具有接受以斜杠结尾的任何路径的 URL 模式(许多内容管理系统都有这样的模式),那么对站点的恶意构造的 URL 的请求可能会导致重定向到另一个站点,从而可能启用钓鱼和其他攻击。
现在,CommonMiddleware
对于防止重定向到其他域的情况会转义开头的斜杠。