Django 3.2.15 版本发行说明
2022 年 8 月 3 日
Django 3.2.15 修复了 3.2.14 版本中一个严重程度为”高”的安全问题。
CVE-2022-36359: FileResponse
中的潜在反射文件下载漏洞
一个应用程序可能对反射性文件下载(RFD)攻击存在漏洞,当 filename
是从用户提供的输入派生时,它会设置 FileResponse 的 Content-Disposition 标头。现在对 filename
进行了转义以避免这种可能性。