2013年9月14日
这是Django 1.5.4,Django 1.5系列的第四个版本。它解决两个安全问题和一个错误。
在以前的Django版本中,对密码的明文长度没有限制。这允许通过提交伪造但非常大的密码提供拒绝服务攻击,绑定执行相应散列的(昂贵的,并且越来越昂贵的密码的长度)计算的服务器资源。
从1.5.4开始,Django的身份验证框架对密码强制实施4096字节的限制,并且将使用任何提交的密码更长的身份验证失败。
使用sensitive_post_parameters()的add_view和user_change_password用户管理视图的装饰不包括method_decorator()(必需因为视图是方法),导致装饰器未被正确应用。此用法已修复,并且sensitive_post_parameters()现在将在使用不当时抛出异常。
2015年5月13日