Kemungkinan denial-of-service dalam tampilan logout() dengan mengisi sesi toko¶

Previously, a session could be created when anonymously accessing the django.contrib.auth.views.logout() view (provided it wasn't decorated with login_required() as done in the admin). This could allow an attacker to easily create many new session records by sending repeated requests, potentially filling up the session store or causing other users' session records to be evicted.

SessionMiddleware telah dirubah menjadi tidak lagi membuat rekaman sesi kosong, termasuk ketika SESSION_SAVE_EVERY_REQUEST aktif.

Perbaikan kesalahan¶

• Ditambahkan kemampuan untuk menserialisasikan nilai-nilai dari UUIDField ditambahkan baru (#25019).
• Ditambahkan sebuah peringatan pemeriksaan sistem jika pengaturan TEMPLATE_* lama ditentukan sebagai tambahan pada pengaturan TEMPLATES baru.
• Diperbaiki QuerySet.raw() sehingga InvalidQuery tidak dimunculkan ketika menggunakan nama db_column dari bidang ForeignKey dengan primary_key=True (#12768).
• Dicegah sebuah pengecualian dalam TestCase.setUpTestData() dari membocorkan transaksi (#25176).
• Diperbaiki metode has_changed() di contrib.postgres.forms.HStoreField (#25215, #25233).
• Diperbaiki perekaman dari perpindahan penindihan ketika menjalankan perintah migrate (#25231).
• Dipindahkan unsaved model instance assignment data loss check pada Model.save() mengizinkan penggunaan lebih mudah dari model dalam-memori (#25160).
• Dicegah indeks varchar_patterns_ops dan text_patterns_ops untuk ArrayField (#25180).