CVE-2017-12794：技术 500 调试页面的回溯部分中可能存在 XSS

在旧版本中，技术 500 调试页面模板的一部分中禁用了 HTML 自动转义。 在适当的情况下，这允许跨站点脚本攻击。 此漏洞不应影响大多数生产站点，因为您不应在生产设置中使用 DEBUG = True（使该页面可访问）运行。

漏洞修复

• 如果版本末尾有提交哈希，则修复了 GEOS 版本解析（GEOS 3.6.2 中的新功能）（:ticket:`28441`）。
• 添加了 cx_Oracle 6 的兼容性（:ticket:`28498`）。
• 修复了选项值为元组时的选择小部件呈现（[x61x]：票证：`28502` [x80x]）。
• Django 1.11 无意中更改了 Oracle 上的序列和触发器命名方案。 如果 'use_returning_into': False 位于 DATABASES 的 OPTIONS 部分，这会导致某些表的插入错误。 1.11 之前的命名方案现已恢复。 不幸的是，它必然需要对使用 Django 1.11.[1-4] 创建的 Oracle 表进行更新。 使用 :ticket:`28451` 注释 8 中的升级脚本更新序列和触发器名称以使用 1.11 之前的命名方案。
• 为 LogoutView 添加了 POST 请求支持，以等效于基于函数的 logout() 视图 (:ticket:`28513`)。
• 如果是 None，则从 BrinIndex.deconstruct() 中省略 pages_per_range（:ticket:`25809`）。
• 修复了 SelectDateWidget 在选择框中本地化年份的回归 (:ticket:`28530`)。
• 修复了 1.11.4 中的回归，其中 runserver 在 Python 2 + Windows 上因非 Unicode 系统编码崩溃（:ticket:`28487`）。
• 修复了 Django 1.10 中的回归，其中 ManyToManyField 的更改未记录在管理更改历史记录 (:ticket:`27998`) 中并阻止 ManyToManyField 初始数据模型形式不受后续模型更改的影响（:ticket:`28543`）。
• 修复了某些具有多个连接的查询中的不确定性结果或 AssertionError 崩溃 (:ticket:`26522`)。
• 修复了 contrib.auth 的 login() 和 logout() 视图中忽略位置参数的回归（:ticket:`28550`）。