昨日安全发布公告勘误
昨天,我们发布了一则安全公告,以解决一些已经引起我们注意的问题。但是,该公告包含一个错误和一个遗漏。
首先,是错误:博客文章中给出的示例具有误导性。JavaScript 代码示例适用于 Django 1.1.4 用户,但不适用于 Django 1.2.5 或 trunk 用户。如果您使用的是 trunk 或 Django 1.2.5,则需要使用略微不同的 Javascript 代码从 cookie 中提取 CSRF 令牌。Django 的 CSRF 处理文档包含正确的示例(分别参见1.1、1.2 和trunk 文档)。
其次,是遗漏:我们忽略了提及 1.2.5 版本包含三个其他次要向后不兼容性。这些不兼容性与删除存储在 FileField 中的文件的过程、测试期间初始 SQL 的解释以及在 Django 1.2.4 中引入的 admin list_filter 验证内部更改有关。我们通常会尽一切努力避免任何形式的向后不兼容性,但在这三种更改的情况下,无法在保留完全向后兼容性的同时解决错误。有关更多详细信息,请参见1.2.5 版本说明。
对于由此产生的任何不便,我们深表歉意。
返回顶部