Django 1.11.15 版本发行说明

2018 年 8 月 1 日

Django 1.11.15 修复了 1.11.14 中的一个安全问题。

CVE-2018-14574: CommonMiddleware 中存在开放重定向漏洞的可能性。

如果同时启用了 CommonMiddlewareAPPEND_SLASH 设置,并且项目具有接受以斜杠结尾的任何路径的 URL 模式(许多内容管理系统都有这样的模式),那么对站点的恶意构造的 URL 的请求可能会导致重定向到另一个站点,从而可能启用钓鱼和其他攻击。

现在,CommonMiddleware 对于防止重定向到其他域的情况会转义开头的斜杠。