Django < 2.0.8 在 CommonMiddleware 中打开重定向可能性 (CVE-2018-14574)
如果django.middleware.common.CommonMiddleware
和APPEND_SLASH
设置都已启用,并且项目的 URL 模式接受以斜杠结尾的任何路径,则对该站点的恶意制作的 URL 的请求可能会导致重定向到另一个站点,从而启用网络钓鱼和其他攻击。
漏洞复现
现在访问http://your-ip:8000//www.example.com
,您将被重定向到//www.example.com/
: