What’s new in Tornado 3.2.1

May 5, 2014

Security fixes

  • RequestHandler.set_secure_cookieRequestHandler.get_secure_cookie使用的有符号值格式已更改为更安全. 这是一个破坏性的变化 . secure_cookie函数采用新的version参数以支持cookie格式之间的转换.

  • 新的cookie格式修复了使用多个cookie的应用程序中可能存在的漏洞,其中一个cookie的名称是另一个cookie的名称的前缀.

  • 为了最大程度地减少中断,默认情况下会接受较旧格式的Cookie,直到它们过期为止. 通过将min_version=2传递给RequestHandler.get_secure_cookie ,可能容易受到攻击的应用程序可以拒绝所有旧格式的cookie.

  • 感谢Certified Secure的 Joost Pol报告此问题.

Backwards-compatibility notes

Other changes

  • 现在,用于加速websocket模块的C扩展名可以在Windows上以MSVC和64位模式正确编译. 现在,纯Python替代方案的后备版本可以在未安装C编译器的Mac OS X机器上正常工作.