Django 1.11.21 版本发行说明
2019 年 6 月 3 日
Django 1.11.21 修复了 1.11.20 中的一个安全问题。
CVE-2019-12308 : AdminURLFieldWidget 跨站脚本攻击(XSS)
由 AdminURLFieldWidget
生成的可点击的 “当前 URL” 链接显示了提供的值,而没有将其验证为安全的 URL。因此,存储在数据库中的未经验证的值,或者作为 URL 查询参数有效载荷提供的值,都可能导致可点击的 JavaScript 链接。
现在,在显示可点击链接之前,AdminURLFieldWidget
使用 URLValidator 对提供的值进行验证。您可以通过将 validator_class
关键字参数传递给 AdminURLFieldWidget.__init__()
来自定义验证器,例如在使用 formfield_overrides 时。