Merge pull request #3307 from bdarnell/branch6.3

Version 6.3.3

ci: Don't test py312 in branch6.3

Set version to 6.3.3

httpserver_test: Add ExpectLog to fix CI

The github security advisory feature lets you make private PRs but
it apparently doesn't support CI so this log failure wasn't caught
until after the PR was merged.

http1connection: Make content-length parsing more strict

Content-length and chunk size parsing now strictly matches the RFCs.
We previously used the python int() function which accepted leading
plus signs and internal underscores, which are not allowed by the
HTTP RFCs (it also accepts minus signs, but these are less problematic
in this context since they'd result in errors elsewhere)

It is important to fix this because when combined with certain proxies,
the lax parsing could result in a request smuggling vulnerability (if
both Tornado and the proxy accepted an invalid content-length but
interpreted it differently). This is known to occur with old versions
of haproxy, although the current version of haproxy is unaffected.

Merge pull request #3267 from bdarnell/branch6.3

Version 6.3.2

Version 6.3.2

web: Fix an open redirect in StaticFileHandler

Under some configurations the default_filename redirect could be exploited
to redirect to an attacker-controlled site. This change refuses to redirect
to URLs that could be misinterpreted.

A test case for the specific vulnerable configuration will follow after the
patch has been available.

Merge pull request #3257 from bdarnell/build-workflow-wstest-warning

test: Close a websocket client that causes occasional test failures

ci: Only run pypi actions from the main repo

These will fail when run from forks because the necessary
credentials aren't available.

test: Close a websocket client that causes occasional test failures

These failures occur on the build.yml workflow on the emulated arm64
platform: an ill-timed timer firing during test shutdown can result
in a message being logged and the test failing for dirty logs.

Merge pull request #3256 from bdarnell/build-workflow-qemu

ci: Update setup-qemu-action version

ci: Update setup-qemu-action version

Eliminates some more deprecation warnings

Merge pull request #3255 from bdarnell/bump-version-6.3.1

Bump version to 6.3.1

Bump version to 6.3.1

Merge pull request #3254 from bdarnell/fix-set-cookie-case

web: Restore case-insensitivity of set_cookie args

web: Restore case-insensitivity of set_cookie args

This was an unintended feature that got broken in #3224. Bring it back
for now but deprecate it for future cleanup.

Fixes #3252

Merge pull request #3251 from bdarnell/release-6.3

Set version to 6.3 final

Set version to 6.3 final

Merge pull request #3250 from bdarnell/build-workflow-update

ci: Update build workflow

ci: Update build workflow

Build wheels for Python 3.12 as well.
Update various dependencies. The upload/download artifact actions
were using deprecated versions, and we were using a deprecated
macos build image. While we're at it, update the other OS versions
and cibuildwheel.

Merge pull request #3249 from bdarnell/version-6.3b1

Set version number to 6.3b1

Set version number to 6.3b1

Merge pull request #3248 from bdarnell/auto-import

typing: Eagerly import all submodules in __init__.pyi

typing: Eagerly import all submodules in __init__.pyi

This makes the auto-import functionality compatible with mypy
and other typing-based tools such as autocomplete functionality.
Excluding these imports from static typing feels like a premature
optimization and made it much less appealing to make use of the
auto-imports.

This may slow down type checking of applications that use Tornado by
a little, since the type checker must now process all of Tornado and
not only the subset that was imported. However, the increasing use
of long-lived daemons for type checkers should mitigate this cost.

Merge pull request #3247 from bdarnell/websocket-update

websocket: Add resolver argument to websocket_connect

websocket: Remove some obsolete comments

Old browser versions that do not support websockets have long since
faded from use.

websocket: Add resolver argument to websocket_connect

This is the public interface, but when the resolver argument was added
it was only added to the supporting WebSocketClientConnection class.

Merge pull request #3246 from bdarnell/release-notes-6.3

docs: Add release notes for 6.3

docs: Add release notes for 6.3

Merge pull request #3245 from vargenau/use-spdx-license-identifier

Use SPDX license identifier

Use SPDX license identifier

Use SPDX license identifier: Apache-2.0
This will help tools to produce valid SPDX.

Signed-off-by: Marc-Etienne Vargenau <marc-etienne.vargenau@nokia.com>

Merge pull request #3244 from bdarnell/xsrf-rename

web: Support renaming the XSRF cookie

web: Support renaming the XSRF cookie

This makes it possible to use the __Host- cookie prefix for increased
security

Merge pull request #3238 from bdarnell/demo-links

docs: Point to stable branch for all demo links

docs: Point to stable branch for all demo links

Add a README to the demos directory with a brief description of each,
and a warning about the usage of not-yet-released features.

Fixes #3236

Merge pull request #3232 from bdarnell/undeprecate-event-loop-setting

testing: No longer silence deprecation warnings

testing: Limit silence of deprecation warnings

Only do it on the specific versions that had the problematic warnings.

Also deprecate get_new_ioloop.

Merge pull request #3223 from takluyver/undeprecate-event-loop-setting

Revert some deprecations, following asyncio changes

Merge pull request #3231 from bdarnell/wsgi-executor

wsgi: Support ThreadPoolExecutor

wsgi: Set multithread flag correctly

Required making WSGIContainer.environ() an instance method.
This is technically a backwards-incompatible change to a documented
method but it was never really meant to be documented and seems
unlikely to be used.

wsgi: Update docs

wsgi: Iterate the response in executor too

wsgi: Add barrier-based test for executor support

wsgi: Fix formatting

Add test case for ThreadPoolExecutor usage

Add support for customizing executor

Linter fixes

Don't try to restore the previous event loop in AsyncTestCase

Default make_current -> True, remove check for existing event loop

Deprecate IOLoop(make_current=True)

Re-deprecate make_current() & clear_current() methods

Re-suppress asyncio deprecation warnings in AsyncTestCase

Linter fixes

Remove cleanup workaround to fix some ResourceWarnings

Fix tests: IOLoop.current() now behaves the same way on any thread

Re-simpify AsyncTestCase setUp & tearDown

IOLoop.current(): create new asyncio loop if not already present

Deprecation of bind/start is no longer forced by Python changes

Undeprecate AsyncTestCase and AsyncHTTPTestCase classes

Undeprecate ioloop make_current and clear_current methods

Merge pull request #3230 from bdarnell/ci-py312

ci: Re-enable Python 3.12 alphas

ci: Add Python 3.10.8 and 3.11.0 to the build matrix

Early releases in these two branches had different deprecation warnings
so we want to test them too.

ci: Re-enable Python 3.12 alphas

As of 3.12a5 the deprecation warnings should be in their final
state.

Also update setup-python action to silence a warning.

asyncio: Remove obsolete code

AsyncioLoop.start() used to save, set, and restore the thread-local
event loop. This avoided some edge cases in early versions of asyncio;
this appears to no longer be necessary since Python 3.7 introduced
the get_running_loop() method.

Removing this logic improves compatibility with Python 3.12, where
it is difficult if not impossible to do the same thing without
generating DeprecationWarnings.

Merge pull request #3224 from bdarnell/cookie-updates

web: Cookie updates

web: Accept all kwargs in clear_cookie

In some cases it is now required to pass matching values for
samesite and secure as when the cookie was set.

clear_all_cookies is now deprecated because the name of a cookie
is no longer reliably sufficient to clear it.

Fixes #2911

web: List all set_cookie arguments instead of kwargs

Multiple arguments needed special cases anyway, so it's better to
just be explicit about what's supported.

set_signed_cookie still uses kwarg forwarding since we don't need
to worry about the special cases at this level and using
explicit arguments would involve duplicating defaults in multiple
places.

web: Rename "secure_cookie" methods to "signed_cookie"

This more precisely states the kind of security that is provided, and
avoids confusion with the use of the word "secure" as a standard
cookie attribute and prefix.

Merge pull request #3220 from bdarnell/update-deps

Update all deps

Update tox to v4

Adapt to backwards-incompatible renaming.

Update most deps

Sphinx is pinned to <6 because of a conflict with sphinx_rtd_theme
Tox is pinned to <4 because we're affected by some backwards-incompatible
renamings in the config file.

Merge pull request #3219 from bdarnell/consolidate-requirements

Consolidate maint and docs requirements files

Consolidate maint and docs requirements files

This division was just complicating things unnecessarily.
Also adopt pip-tools instead of doing it all by hand.
No pinned versions have been changed in this commit.

Merge pull request #3218 from bdarnell/readthedocs-config

docs: Add config file for readthedocs

docs: Add config file for readthedocs

This moves away from web-based settings and permits per-release
changes.

Merge pull request #3214 from tornadoweb/bdarnell-patch-1

Create security policy document

Merge pull request #3204 from tornadoweb/dependabot/pip/docs/certifi-2022.12.7

build(deps): bump certifi from 2022.5.18.1 to 2022.12.7 in /docs

Create security policy document

Fixes #3099

build(deps): bump certifi from 2022.5.18.1 to 2022.12.7 in /docs

Bumps [certifi](https://github.com/certifi/python-certifi) from 2022.5.18.1 to 2022.12.7.
- [Release notes](https://github.com/certifi/python-certifi/releases)
- [Commits](https://github.com/certifi/python-certifi/compare/2022.05.18.1...2022.12.07)

---
updated-dependencies:
- dependency-name: certifi
  dependency-type: indirect
...

Signed-off-by: dependabot[bot] <support@github.com>

Merge pull request #3213 from uniontech-lilinjie/master

fix typo

fix typo

Signed-off-by: lilinjie <lilinjie@uniontech.com>

Merge pull request #3212 from meramsey/patch-1

Update v6.2.0.rst

Update v6.2.0.rst

fix typo

Merge pull request #3208 from bdarnell/pin-tox

ci: Various dependency-related updates

ci: Skip python 3.12 for now

The breaking changes begun by the deprecation warnings in 3.10 have
arrived, but according to https://github.com/python/cpython/issues/93453
the scope has changed somewhat (for the better, I think). Don't test
on 3.12 until we've adapted to the new plan.

test: Catch error from get_event_loop in tearDown

test: More lenient check for localhost resolver test

A recent update to pycares appears to have made it return only
an ipv6 address for localhost.

ci: Install pinned version of tox

Merge pull request #3202 from bdarnell/lint-update

deps: Update linters

deps: Update linters

Merge pull request #3201 from bdarnell/lazy-import

all: Support lazy imports of submodules

all: Support lazy imports of submodules

A getattr hook in the top-level "tornado" package now imports submodules
automatically, eliminating the need to explicitly reference multiple submodules
in imports

Merge pull request #3200 from bdarnell/expectlog

testing: Deprecate environment-dependent behavior in ExpectLog

test: Skip undecorated coroutine test in py312

The standard library now has its own check for this, rendering ours redundant
(and breaking our test)

testing: Deprecate environment-dependent behavior in ExpectLog

ExpectLog is sensitive to the difference between tornado.testing.main
(which sets the logging level to info) and most other test runners,
which do not. In the future ExpectLog will match WARNING and above
by default; matching lower levels without using the ``level`` argument
is deprecated.

Fix one test in httpserver_test.py that is affected by this.

Merge pull request #3197 from bdarnell/pyversion-update

setup: Drop support for python 3.7

setup: Drop support for python 3.7

The main reason to drop this version before it reaches its EOL is so
that we can begin to use unittest.IsolatedAsyncioTestCase to replace
deprecated portions of the tornado.testing module.

A secondary reason is that Python 3.8 introduced support for the
samesite cookie attribute, which allows us to deprecate the
xsrf_token mechanism.

Merge pull request #3196 from bdarnell/pyversion-update

setup: Add Python 3.11 final and 3.12 alpha to CI

setup: Add Python 3.11 final and 3.12 alpha to CI

Adapts to the deprecation of multi-argument generator.throw().