通过密码哈希重新解决拒绝服务问题

Django 1.5.4 对密码施加了 4096 字节的限制，以通过提交虚假但非常大的密码来减轻拒绝服务攻击。 在 Django 1.5.5 中，我们恢复了这一更改，而是通过不在每次迭代时重新哈希密钥来提高 PBKDF2 算法的速度。

登录时正确轮换 CSRF 令牌

在 Django 1.5.2 中作为安全强化措施引入的这种行为无法正常工作，现在已修复。

漏洞修复

• 修复了 datetime_safe.datetime.combine (#21256) 的数据损坏错误。
• 修复了 django.utils.text.unescape_entities() (#21185) 中 Python 3 的不兼容问题。
• 修复了 Oracle 和 MySQL 下 QuerySet 边缘情况下的几个数据损坏问题 (#21203, #21126)。
• 修复了使用 annotate()、select_related() 和 only() 组合时的崩溃问题 (#16436)。

不向后兼容的变更

• 未记录的 django.core.servers.basehttp.WSGIServerException 已被删除。 改用标准库提供的 socket.error。