Примечания к выпуску Django 1.11.21¶
3 июня 2019
Django 1.11.21 исправляет проблему безопасности в версии 1.11.20.
CVE-2019-12308: AdminURLFieldWidget XSS¶
Кликабельная ссылка «Current URL», созданная командой AdminURLFieldWidget
, отображала предоставленное значение без проверки его как безопасного URL. Таким образом, непроверенное значение, хранящееся в базе данных, или значение, предоставленное в качестве полезной нагрузки параметра запроса URL, могло привести к появлению кликабельной ссылки JavaScript.
AdminURLFieldWidget
теперь проверяет предоставленное значение с помощью URLValidator
перед отображением кликабельной ссылки. Вы можете настроить валидатор, передав validator_class
kwarg в AdminURLFieldWidget.__init__()
, например, при использовании formfield_overrides
.