修复了 date 模板过滤器中设置泄漏的可能性

如果应用程序允许用户为日期指定未经验证的格式并将此格式传递给 :tfilter:`date` 过滤器，例如 模板:Last updated，然后恶意用户可以通过指定设置键而不是日期格式来获取应用程序设置中的任何秘密。 例如 "SECRET_KEY" 代替 "j/m/Y"。

为了解决这个问题，date 模板过滤器使用的底层函数 django.utils.formats.get_format() 现在只允许访问日期/时间格式设置。

漏洞修复

• 如果 to_attr 设置为 ManyToManyField (:ticket:`25693`)，则修复了 Prefetch 的数据丢失可能性。