2013年9月14日
Django1.4.8修复了1.4系列中以前的Django版本中存在的两个安全问题。
在Django的早期版本中,没有对密码的明文长度进行限制。这允许通过提交伪造但非常大的密码进行拒绝服务攻击,将服务器资源捆绑在一起,执行相应哈希的计算(代价高昂,而且随着密码的长度而越来越昂贵)。
从1.4.8开始,Django的验证框架对密码施加4096字节的限制,并且将无法使用任何提交的更大长度的密码进行验证。
sensitive_post_parameters() 在里面 django.contrib.auth 管理员¶装饰 add_view 和 user_change_password 用户管理视图 sensitive_post_parameters() 不包括 method_decorator() (因为视图是方法,所以是必需的)导致未正确应用修饰符。此用法已被修复,并且 sensitive_post_parameters() 如果使用不当,将引发异常。
5月 28, 2025