logout() 视图中通过填充会话存储的拒绝服务可能性

以前，可以在匿名访问 django.contrib.auth.views.logout() 视图时创建会话（前提是它没有像管理员那样用 login_required() 修饰）。 这可能允许攻击者通过发送重复请求轻松创建许多新的会话记录，可能会填满会话存储或导致其他用户的会话记录被逐出。

SessionMiddleware 已修改为不再创建空会话记录，包括当 :setting:`SESSION_SAVE_EVERY_REQUEST` 处于活动状态时。

此外，contrib.sessions.backends.base.SessionBase.flush() 和 cache_db.SessionStore.flush() 方法已被修改以避免创建新的空会话。 第三方会话后端的维护者应检查其后端是否存在相同的漏洞，如果存在则予以纠正。