发布于 2017-09-05 23:49:03 | 194 次阅读 | 评论: 0 | 来源: 网友投递
Django Python WEB开发框架
Django是一个开放源代码的Web应用框架,由Python写成。采用了MVC的软件设计模式,即模型M,视图V和控制器C。它最初是被开发来用于管理劳伦斯出版集团旗下的一些以新闻内容为主的网站的,即是CMS(内容管理系统)软件。并于2005年7月在BSD许可证下发布。这套框架是以比利时的吉普赛爵士吉他手Django Reinhardt来命名的。
Django 1.11.5 和 1.10.8 已发布,这两个版本主要解决了一些安全性方面的问题,具体如下:
CVE-2017-12794:在 500 调试页面的追溯部分中可能会导致 XSS 攻击
在旧版本中,500 调试页面的模板部分中禁用了 HTML 自动转换。在合适的情况下,这样会导致跨站脚本攻击。这个漏洞应该不会影响大多数网站,因为你不会在生产环境中设置中 DEBUG = True,这使得此页面可以访问。
受影响的版本:
Django master development branch
Django 1.11
Django 1.10
根据官方的版本支持方案,现在已不再支持 Django 1.9,Django 1.8 不受影响。
具体解决方案请参阅发布说明,建议用户尽快升级。
其他更新内容请参阅各自的发布说明,1.11.5 和 1.10.8。