错误修复

您可以在 4.0.6 中期待以下更改。查看 变更日志 以了解每个提交。

• Nirmal Kirubakaran 通过安全邮件列表与我们联系并披露了我们 CSRF 令牌生成中的漏洞。如果攻击者利用 XSS 漏洞或物理访问来固定 CSRF 令牌，他们就可以利用额外的 CSRF 攻击。在此版本中，生成的令牌包含一个使用 Security.salt 签名的 HMAC。这确保令牌是由与接收令牌相同的应用程序生成的。在以前版本中生成的 CSRF 令牌现在会被 4.0.6 拒绝，因为它们不包含 HMAC。
• 通过新的 getTestSession() 方法改进 IntegrationTestTrait 中的会话访问。
• 修复了 / URL 上的分页链接生成。
• cake plugin unload 和 cake plugin load 现在处理供应商命名空间插件。
• Validation::inList() 不再在非标量值上发出警告。
• SQLServer 中的模式反射存储过程现在在区分大小写的配置中工作。
• 当行与换行长度相同时，电子邮件消息换行不再发出错误。
• App::path() 现在为插件解析语言环境文件。

4.0.6 的贡献者

感谢所有帮助实现此版本的贡献者

• ADmad
• Corey Taylor
• Mark Scherer
• Mark Story
• Nicolas

与往常一样，我们要感谢所有打开问题、创建拉取请求或更新文档的贡献者。

下载 GitHub 上的打包版本。