[3.8] bpo-43882 - Mention urllib.parse changes in Whats new section. (#26277)

author Senthil Kumaran <senthil@python.org>

Mon, 28 Jun 2021 10:05:21 +0000 (03:05 -0700)

committer GitHub <noreply@github.com>

Mon, 28 Jun 2021 10:05:21 +0000 (12:05 +0200)
author Senthil Kumaran <senthil@python.org>
Mon, 28 Jun 2021 10:05:21 +0000 (03:05 -0700)
committer GitHub <noreply@github.com>
Mon, 28 Jun 2021 10:05:21 +0000 (12:05 +0200)
diff --git a/Doc/whatsnew/3.8.rst b/Doc/whatsnew/3.8.rst

index 6c30ac183b67fde62bb8635347db0080d44ca0a3..109a06e92efb7d5a6c1fbc6c31ef3dd041ad7348 100644 (file)
--- a/Doc/whatsnew/3.8.rst
+++ b/Doc/whatsnew/3.8.rst
@@ -2294,4 +2294,16 @@ for and build on the oldest version in the range.
  with fixes by FX Coudert and Eli Rykoff, and backported to 3.8 by Maxime Bélanger
  and Ned Deily)
  
+Notable changes in Python 3.8.10
+================================
+
+urllib.parse
+------------
+
+The presence of newline or tab characters in parts of a URL allows for some
+forms of attacks. Following the WHATWG specification that updates :rfc:`3986`,
+ASCII newline ``\n``, ``\r`` and tab ``\t`` characters are stripped from the
+URL by the parser in :mod:`urllib.parse` preventing such attacks. The removal
+characters are controlled by a new module level variable
+``urllib.parse._UNSAFE_URL_BYTES_TO_REMOVE``. (See :issue:`43882`)
author	Senthil Kumaran <senthil@python.org>
	Mon, 28 Jun 2021 10:05:21 +0000 (03:05 -0700)
committer	GitHub <noreply@github.com>
	Mon, 28 Jun 2021 10:05:21 +0000 (12:05 +0200)