Django 1.10.8 版本发行说明
2017 年 9 月 5 日
Django 1.10.8 修复了 1.10.7 中的一个安全问题。
CVE-2017-12794 :技术性 500 调试页面的追踪部分可能存在 XSS 漏洞
在旧版本中,在技术性的 500 调试页面模板的一部分中禁用了 HTML 自动转义。在正确的情况下,这可能导致跨站点脚本攻击。这个漏洞不应影响大多数生产站点,因为你不应该在生产设置中运行 DEBUG = True
(这使得这个页面可访问)。
本文档使用 BookStack 构建