2015年3月9日
Django 1.7.6修复了一个安全问题和几个错误在1.7.5。
Django管理员中的ModelAdmin.readonly_fields属性允许显示模型字段和模型属性。虽然前者正确逃脱,后者不是。因此,不可信内容可以注入到管理员中,呈现XSS攻击的利用向量。
在此漏洞中,readonly_fields中使用的每个模型属性不是实际的模型字段(例如,a property)将无法转义,即使该属性未标记为安全。在此版本中,自动转义现在已正确应用。
输入搜索字词或模块,类或函数名称。
2015年5月13日