通过密码哈希器实现拒绝服务攻击¶

在以前的 Django 版本中，没有对密码明文长度施加限制。这允许通过提交虚假但极大的密码进行拒绝服务攻击，耗费服务器资源执行相应散列的计算（随着密码长度的增加，计算越来越昂贵）。

从 1.4.8 开始，Django 的身份验证框架对密码施加了 4096 字节的限制，并且对于提交的长度超过此限制的密码将无法进行身份验证。

在 django.contrib.auth 的管理员界面中，修正了对 sensitive_post_parameters() 的使用¶

对 add_view 和 user_change_password 用户管理视图的装饰使用 sensitive_post_parameters() 时没有包括 method_decorator() （因为这些视图是方法），导致装饰器未正确应用。这个使用已经被修复，现在如果不正确使用 sensitive_post_parameters()，将引发异常。