通过密码散列器拒绝服务

在以前的 Django 版本中，对密码的明文长度没有限制。 这允许通过提交虚假但非常大的密码进行拒绝服务攻击，占用服务器资源来执行（昂贵的，并且随着密码的长度而越来越昂贵）计算相应散列。

从 1.5.4 开始，Django 的身份验证框架对密码施加了 4096 字节的限制，并且任何提交的密码长度都将导致身份验证失败。

更正了 django.contrib.auth 管理中 sensitive_post_parameters() 的用法

使用 sensitive_post_parameters() 修饰 add_view 和 user_change_password 用户管理视图不包括 method_decorator()（需要，因为视图是方法）导致装饰器没有正确应用。 此用法已得到修复，如果使用不当，sensitive_post_parameters() 现在将抛出异常。

漏洞修复

• 修复了一个错误，该错误会阻止使用 prefetch_related() 的 QuerySet 被多次腌制和取消腌制（第二次腌制尝试引发异常）（#21102）。