Примечания к выпуску Django 1.8.15¶
26 сентября 2016
Django 1.8.15 исправляет проблему безопасности в версии 1.8.14.
Обход защиты CSRF на сайте с Google Analytics¶
Взаимодействие между Google Analytics и разбором файлов cookie в Django может позволить злоумышленнику установить произвольные файлы cookie, что приведет к обходу защиты CSRF.
Парсер для request.COOKIES
упрощен, чтобы лучше соответствовать поведению браузеров и смягчить эту атаку. request.COOKIES
теперь может содержать куки, которые недействительны согласно RFC 6265, но могут быть установлены через document.cookie
.