CVE-2019-12308: AdminURLFieldWidget XSS¶

Кликабельная ссылка «Текущий URL-адрес», созданная с помощью AdminURLFieldWidget, отображала предоставленное значение без проверки его как безопасного URL-адреса. Таким образом, непроверенное значение, хранящееся в базе данных, или значение, предоставленное в качестве полезной нагрузки параметра URL-запроса, может привести к появлению кликабельной ссылки JavaScript.

AdminURLFieldWidget теперь проверяет предоставленное значение, используя URLValidator перед отображением интерактивной ссылки. Вы можете настроить валидатор, передав kwarg validator_class в AdminURLFieldWidget.__init__(), например: при использовании formfield_overrides.