Django 4.0.7 版本发行说明
2022 年 8 月 3 日
Django 4.0.7 修复了在 4.0.6 版本中的一个严重安全问题。
CVE-2022-36359: FileResponse
中的潜在反射文件下载漏洞
一个应用程序可能对反射性文件下载(RFD)攻击存在漏洞,当 filename
是从用户提供的输入派生时,它会设置 FileResponse 的 Content-Disposition 标头。现在对 filename
进行了转义以避免这种可能性。