Django 1.7.6 release notes

2015年3月9日

Django 1.7.6修复了一个安全问题和几个错误在1.7.5。

Mitigated an XSS attack via properties in ModelAdmin.readonly_fields

Django管理员中的ModelAdmin.readonly_fields属性允许显示模型字段和模型属性。虽然前者正确逃脱,后者不是。因此,不可信内容可以注入到管理员中,呈现XSS攻击的利用向量。

在此漏洞中,readonly_fields中使用的每个模型属性不是实际的模型字段(例如,a property)将无法转义,即使该属性未标记为安全。在此版本中,自动转义现在已正确应用。

Bugfixes

  • 在将ManyRelatedManager强制为字符串(#24352)时固定崩溃。
  • 修复了在将现有字段转换为外键(#24447)时阻止迁移添加外键约束的错误。