Примечания к выпуску Django 1.11.21¶
3 июня 2019
Django 1.11.21 исправляет проблему безопасности в версии 1.11.20.
CVE-2019-12308: AdminURLFieldWidget XSS¶
Кликабельная ссылка «Current URL», созданная командой AdminURLFieldWidget, отображала предоставленное значение без проверки его как безопасного URL. Таким образом, непроверенное значение, хранящееся в базе данных, или значение, предоставленное в качестве полезной нагрузки параметра запроса URL, могло привести к появлению кликабельной ссылки JavaScript.
AdminURLFieldWidget теперь проверяет предоставленное значение с помощью URLValidator перед отображением кликабельной ссылки. Вы можете настроить валидатор, передав validator_class kwarg в AdminURLFieldWidget.__init__(), например, при использовании formfield_overrides.