Django 1.10.8 版本发行说明

2017 年 9 月 5 日

Django 1.10.8 修复了 1.10.7 中的一个安全问题。

CVE-2017-12794 :技术性 500 调试页面的追踪部分可能存在 XSS 漏洞

在旧版本中,在技术性的 500 调试页面模板的一部分中禁用了 HTML 自动转义。在正确的情况下,这可能导致跨站点脚本攻击。这个漏洞不应影响大多数生产站点,因为你不应该在生产设置中运行 DEBUG = True (这使得这个页面可访问)。

« previous | up | next »