Skip to main content

Tornado 4.4.2的新功能

2016年10月1日

安全修复

  • Tornado和网络浏览器(特别是与Google Analytics(分析)结合使用)之间的Cookie解析的区别可能允许攻击者设置任意Cookie并绕过XSRF保护。 cookie解析器已被重写以修复此攻击。

向后兼容性说明

  • 包含某些特殊字符(特别是分号和方括号)的Cookie现在会有不同的解析。

  • 如果cookie头包含有效和无效cookie的组合,将返回有效的cookie(旧版本的Tornado会拒绝单个无效cookie的整个头)。