Django 1.4.8 版本发行说明
2013 年 9 月 14 日
Django 1.4.8 修复了 1.4 系列中之前 Django 版本存在的两个安全问题。
通过密码哈希器实现拒绝服务攻击
在以前的 Django 版本中,没有对密码明文长度施加限制。这允许通过提交虚假但极大的密码进行拒绝服务攻击,耗费服务器资源执行相应散列的计算(随着密码长度的增加,计算越来越昂贵)。
从 1.4.8 开始,Django 的身份验证框架对密码施加了 4096 字节的限制,并且对于提交的长度超过此限制的密码将无法进行身份验证。
在 django.contrib.auth 的管理员界面中,修正了对 sensitive_post_parameters() 的使用
对 add_view
和 user_change_password
用户管理视图的装饰使用 sensitive_post_parameters() 时没有包括 method_decorator() (因为这些视图是方法),导致装饰器未正确应用。这个使用已经被修复,现在如果不正确使用 sensitive_post_parameters(),将引发异常。