通过 ModelAdmin.readonly_fields 中的属性缓解 XSS 攻击

Django 管理中的 ModelAdmin.readonly_fields 属性允许显示模型字段和模型属性。 虽然前者被正确地逃脱了，但后者却没有。 因此，不受信任的内容可能会被注入到管理员中，从而为 XSS 攻击提供了一个利用向量。

在此漏洞中，readonly_fields 中使用的每个模型属性都不是实际模型字段（例如 property) 将 无法转义 ，即使该属性未标记为安全。 在此版本中，现在可以正确应用自动转义。

错误修正

• 修复了将 ManyRelatedManager 强制转换为字符串时的崩溃 (:ticket:`24352`)。
• 修复了在将现有字段转换为外键 (:ticket:`24447`) 时阻止迁移添加外键约束的错误。