What’s new in Tornado 4.4.2

Oct 1, 2016

Security fixes

  • Tornado和Web浏览器之间的cookie解析不同(尤其是与Google Analytics(分析)结合使用时),攻击者可能会设置任意cookie并绕过XSRF保护. Cookie解析器已被重写以解决此攻击.

Backwards-compatibility notes

  • 现在,包含某些特殊字符(特别是分号和方括号)的Cookie的解析方式有所不同.

  • 如果cookie标头包含有效和无效cookie的组合,则将返回有效的cookie(旧版本的Tornado将拒绝单个无效cookie的整个标头).