Django 4.0正式发布、主要特性概述

zoneinfo 成为默认时区实现

Python标准库中的zoneinfo 目前成为了 Django 对时区的默认实现。

使用zoneinfo是对迁移pytz的更进一步实现。Django 3.2中允许使用非pytz 时区，Django 4.0则让 zoneinfo 成为了默认实现。对pytz 的支持已降级并且在Django 5.0中会彻底移除。

zoneinfo 自Python 3.9加入了Python的标准库。使用Python 3.8就会在安装 Django 时自动安装 backports.zoneinfo 包。

采用 zoneinfo大多地方都是显而易见的。 对当前时区的选择、在表单和模板中将datetime实例转化当前时区以及UTC时间的操作均不受影响。

但如果使用的是非UTC时区，配置了TIME_ZONE以及及使用了 pytz normalize() 和 localize() API的话，则需要审计下代码，因为pytz 和 zoneinfo 并非完全一致。

为了对于这类审计保留时间，临时使用 USE_DEPRECATED_PYTZ 设置可允许在4.x 中继续使用 pytz 。但这一设置会在Django 5.0中移除。

此外，zoneinfo作者创建的pytz_deprecation_shim 包，也可用于辅助对pytz 的迁移。这个包提供了一个 shim 辅助用户安全地移除掉 pytz，并且提供了详细的迁移指南 讲解如何迁移至新的 zoneinfo API。

如果采用渐进升级策略，建议使用 pytz_deprecation_shim 和 USE_DEPRECATED_PYTZ 临时配置。

Functional unique constraints

UniqueConstraint()中新的 *expressions 位置参数让我们可以用表达式及数据库函数创建唯一性约束。例如：

scrypt 密码哈希工具

新的 scrypt密码哈希工具 更加案例，也是PBKDF2加密算法中所推荐使用中。但它并非默认工具，因为要求使用OpenSSL 1.1+版本同时也更耗内存。

Redis后端缓存

新的django.core.cache.backends.redis.RedisCache 后端缓存提供了对 Redia 缓存的内置支持。要求使用redis-py 3.0.0或更高版本。更多详情，请参见在Django中使用 Redis 进行缓存的相关文档。

表单的模板渲染

Forms, Formsets和 ErrorList 现在使用模板引擎来改善其自定义特性。参见 Form 的新API render(), get_context()和 template_name以及 Formset的formset渲染。

小功能修改

数据库后端API

这部分描述了第三方数据库后台可能需要做的改动。

• DatabaseOperations.year_lookup_bounds_for_date_field() 和 year_lookup_bounds_for_datetime_field() 方法现在接收一个可选参数 iso_year ，用于支持 ISO-8601 周数记年。
• DatabaseSchemaEditor._unique_sql() 的第二个参数以及 _create_unique_sql() 方法现在是 字段，不再是 列。

django.contrib.gis

• 删除对PostGIS 2.3的支持。
• 删除对GDAL 2.0 和 GEOS 3.5的支持。

移除对PostgreSQL 9.6的支持

PostgreSQL 9.6的上游支持于2021年11月终止。Django 4.0仅支持PostgreSQL 10及更高版本。

移除对Oracle 12.2 和 18c的支持

Oracle 12.2的上游支持于2022年终结，而Oracle 18c已于2021年6月终结。Django 3.2的支持将持续至2024年4朋。Django 4.0正式支持Oracle 19c版本。

CSRF_TRUSTED_ORIGINS的变化

SecurityMiddleware 不再设置X-XSS-Protection头

在设置SECURE_BROWSER_XSS_FILTER 为 True时SecurityMiddleware不再设置X-XSS-Protection头。 该设置已被移除。

大部分现代浏览器不使用X-XSS-Protection HTTP头。可以使用Content-Security-Policy 并不允许使用 'unsafe-inline' 脚本。

如果希望兼容老浏览器、设置这个头，可使用如下的自定义中间件：

Migration自动检测的调整

migration的autodetector使用模型状态取代模型类。同时对 ForeignKey 和 ManyToManyField字段的迁移操作不再指定初始化阶段不传入这些字段的属性。

负面效应是在某些情况下，对 ManyToManyField 和 ForeignKey 字段运行makemigrations时可能会生成无操作的AlterField。

DeleteView 的调整

DeleteView 现在使用 FormMixin 来处理POST 请求。因此 delete() handler中的所有自定义删除逻辑都应迁移至 form_valid()或是共享帮助方法中。

其它

• 删除对 cx_Oracle 7.0以下版本的支持。
• 支持通过子路径访问Django站点而无需修改 STATIC_URL，在默认的startproject模板中也去除了前置斜线的设置 (当前为 'static/')。
• 后台 index 视图的AdminSite方法在直接访问时不再使用never_cache进行装饰，无需使用原来推荐的 AdminSite.urls 属性或 AdminSite.get_urls() 方法。
• 对queryset切片所不支持的操作会抛出 TypeError ，代替原来的 AssertionError。
• 未加入文档的 django.test.runner.reorder_suite() 函数重命名为了reorder_tests()。目前它接收可迭代测试，不再是过去的测试套件，返回一个测试迭代器。
• 现在使用空name调用FileSystemStorage.delete() 会抛出ValueError ，不再是过去的 AssertionError。
• 使用无效的content 或 mimetype参数调用 EmailMultiAlternatives.attach_alternative() 或 EmailMessage.attach() 现在报ValueError，不再是之前的 AssertionError。
• assertHTMLEqual() 不再会将不带值的非布尔属性视作等于带值的同名属性。
• 无法加载的测试，如因其语法错误，在使用test --tag时会保持匹配。
• 未加入文档的 django.contrib.admin.utils.lookup_needs_distinct()函数重命名为了lookup_spawns_duplicates()。
• 删除了未加入文档的 HttpRequest.get_raw_uri() 方法。通常适合将其替换为 HttpRequest.build_absolute_uri() 。
• 未加入文档的ModelAdmin.log_addition(), log_change() 和log_deletion()方法的object参数改为了 obj。
• RssFeed、 Atom1Feed及它们的子类对无内容的元素会转为自关闭标签。
• NodeList.render() 不再将单节点的 render() 方法输出转化为字符串了。 Node.render() 应保持像文档所述那样返回字符串。
• 删除django.db.models.sql.query.Query 的where_class属性以及ForeignObject 和 ForeignObjectRel 的私有方法 get_extra_restriction() 的where_class参数。如需使用这一查询，请使用django.db.models.sql.where.WhereNode进行初始化。
• 未计入文档的 Query.add_filter() 方法的filter_clause参数由两个位置参数进行替换： filter_lhs 和 filter_rhs。
• CsrfViewMiddleware 当前使用 request.META['CSRF_COOKIE_NEEDS_UPDATE'] 替换request.META['CSRF_COOKIE_USED'], request.csrf_cookie_needs_reset和 response.csrf_cookie_set 用于跟踪是否应发送CSRF。这是一个记录在文档中的私有API。
• 未放入文档的TRANSLATOR_COMMENT_MARK 常量由django.template.base 迁移至 django.utils.translation.template。
• 未入文档的django.db.migrations.state.ProjectState.__init__() 方法的参数real_apps在提供时必须要设置。
• RadioSelect 和 CheckboxSelectMultiple 组件在 <div>标签中进行渲染，这样屏幕阅读器可以更精准地读取。如果需要使用之前的功能，可通过Django 3.2中相应的模块重写这一组件模板。
• floatformat模板过滤器不再依赖于USE_L10N 配置并总是返回本地化输出。使用后缀 u 来禁用本地化。
• USE_L10N 配置的默认值修改为了 True。参见上面的本地化一节 了解更多详情。
• 因迁移至zoneinfo, django.utils.timezone.utc 修改为了别名 datetime.timezone.utc。
• asgiref 的最小兼容版本由3.3.2 提升为 3.4.1。

pytz 时区的使用

因 迁移至zoneinfo，淘汰了pytz 时区。

相应地，以下方法的 is_dst 参数也进行了淘汰：

• django.db.models.query.QuerySet.datetimes()
• django.db.models.functions.Trunc()
• django.db.models.functions.TruncSecond()
• django.db.models.functions.TruncMinute()
• django.db.models.functions.TruncHour()
• django.db.models.functions.TruncDay()
• django.db.models.functions.TruncWeek()
• django.db.models.functions.TruncMonth()
• django.db.models.functions.TruncQuarter()
• django.db.models.functions.TruncYear()
• django.utils.timezone.make_aware()

Django 5.0中将会删除 pytz 的使用。

时区支持

为遵循最佳实践， USE_TZ 配置的默认值由 False 变成了 True，在Django 5.0中会默认启用时区支持。

注意由 django-admin startproject命令创建的settings.py 从Django 1.4开始就包含了USE_TZ = True。

此前可在项目配置中将 USE_TZ 设置为 False 取消这一配置。

本地化

为遵循最佳实践，USE_L10N 配置的默认值由 False 修改为了 True。

同时在本版中淘汰 USE_L10N 。Django 5.0开始默认Django中的所有日期和数字都会进行本土化显示。

Django中仍会支持 {% localize %} 标签和 localize/ unlocalize 过滤器。

其它

• SERIALIZE测试已淘汰，因为可通过在databases中启用 serialized_rollback选项来进行推导。
• 淘汰未入文档的 django.utils.baseconv 模块。
• 淘汰未入文档的django.utils.datetime_safe 模块。
• 请求上下文外构建网站地图的默认 sitemap协议将在Django 5.0中由 'http' 变为 'https'。
• 淘汰 DiscoverRunner.build_suite() 和 DiscoverRunner.run_tests() 的extra_tests参数。
• Django 5.0会在聚合运算没有行记录时 ArrayAgg, JSONBAgg和 StringAgg 返回 None， 替换掉之前的 [], []和 '' 。如果需要保留之前的做法，可显示地将 default 设置为 Value([]), Value('[]')或 Value('')。
• 淘汰 django.contrib.gis.admin.GeoModelAdmin 和 OSMGeoAdmin类。转而使用 ModelAdmin 和 GISModelAdmin。
• 因表单渲染现在使用模板引擎了，所以淘汰未入文档的 BaseForm._html_output() 帮助方法。
• 淘汰 对ErrorList 和 ErrorDict返回str 的功能。这些方法应返回 SafeString。