1.3 及以下版本的 django 文档说:
This document is for an insecure version of Django that is no longer supported. Please upgrade to a newer release!
也没有显示 v1.1 的文档。
它在哪些方面不安全?
对于仍在使用这些版本的人来说,缺点是什么?
为什么它发布的时候不是不安全的,或者说被广泛使用的?
他们所说的支持是什么意思,是关于他们所做的错误修复吗?
为什么没有显示 v1.1 的文档,Django 开发人员确定现在没有人使用它们了吗?
我得到了很多单行答案,但并不令人满意。
最佳答案
免责声明的意思是,“不要向我们寻求帮助,您正在做我们告诉您不要做的事情。”
从没有修补新发现的漏洞的意义上说,它是不安全的。您可以搜索NIST Vulnerability Database让 Django 查看可能的问题列表。 “不再支持”是指当发现某个 Django 版本存在问题时,不需要任何人努力查看该问题是否存在于 1.3 或之前的版本中,也不会发布任何修复。
除了无法访问新功能外,这些版本可能容易受到攻击,这些攻击已在当前维护的 Django 版本中得到缓解。如果您选择使用这些版本,您的工作就是调查新发现的漏洞并自行修复它们。这是一个糟糕的想法,不仅因为它需要大量工作,还因为没有社区对您可能尝试的修复进行审查,也没有进行测试以在坏人发现新问题之前发现新问题。
它是不安全的,至少在漏洞存在的意义上是这样。当 Django 文档将 1.3 及之前的版本称为不安全版本时,它们并不意味着代码已腐烂。他们的意思是代码可能容易受到新发现的攻击,并且他们不会对此采取任何措施。将其更多地视为“使用风险自负”。
是的。您不会获得此版本的错误修复。向后移植修复会占用开发人员宝贵的时间,这就是为什么没有人会无限期地支持产品的某个版本。
总结:不要使用这个版本。 Django 文档出于充分的理由警告您远离它。
关于python - Django 的不安全版本,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/23184542/