What’s new in Tornado 3.2.2

June 3, 2014

Security fixes

  • 现在,对每个请求,XSRF令牌都使用随机掩码进行编码. 这样可以安全地包含在压缩页面中,而不会受到BREACH攻击 . 这适用于同时使用xsrf_cookiesgzip选项(或通过代理应用gzip大多数应用程序.

Backwards-compatibility notes

  • 如果Tornado 3.2.2与同一域上的旧版本同时运行,则不同的cookie版本可能会出现问题. Application设置xsrf_cookie_version=1可以在过渡期内用于在较新的服务器上生成较旧的cookie格式.

Other changes

  • tornado.platform.asyncio现在与trollius版本0.3兼容.