安全公告:ImageField 滥用
我们收到了一份关于允许通过 Django 的ImageField上传 HTML 文件的方法的报告。ImageField由于
ImageField 预期会验证有效的文件,这为攻击者提供了一个上传网络钓鱼表单、窃取 Cookie 或其他恶意内容的攻击途径。不幸的是,我们无法在 Django 本身提供解决方案。相反,您需要在如何服务静态文件方面采取一些措施来缓解此类攻击。这些步骤现在已在我们的安全指南中概述。我们建议如果您允许图像上传,请根据指南检查服务器的配置。
感谢 Rolo Mawlabaux 的报告。