Примечания к выпуску Django 1.8.15

26 сентября 2016

Django 1.8.15 исправляет проблему безопасности в версии 1.8.14.

Обход защиты CSRF на сайте с Google Analytics

Взаимодействие между Google Analytics и разбором файлов cookie в Django может позволить злоумышленнику установить произвольные файлы cookie, что приведет к обходу защиты CSRF.

Парсер для request.COOKIES упрощен, чтобы лучше соответствовать поведению браузеров и смягчить эту атаку. request.COOKIES теперь может содержать куки, которые недопустимы согласно RFC 6265, но могут быть установлены через document.cookie.

Вернуться на верх