docs: Document the need to use json_encode in javascript contexts

This has always been necessary but we didn't have any explicit guidance
for using javascript in templates before.

Merge pull request #3483 from bdarnell/websocket-docs

websocket: Small doc updates

websocket: Small doc updates

- Mention units for ping settings (#2655)
- Remove obsolete reference to 30s default timeout
- Link to a more recent version of python docs

Merge pull request #3484 from bdarnell/zizmor-config

ci: Add zizmor config file

ci: Add zizmor config file

This restores behavior of version 1.5.2 to be more lenient for
pypa and astral-sh repos.

websockets: fix ping_timeout (#3376)

* websockets: fix ping_timeout

* Closes #3258
* Closes #2905
* Closes #2655
* Fixes an issue with the calculation of ping timeout interval that
  could cause connections to be erroneously timed out and closed
  from the server end.

* websocket: Fix lint, remove hard-coded 30s default timeout

* websocket_test: Improve assertion error messages

* websocket_test: Allow a little slack in ping timing

Appears to be necessary on windows.

---------

Co-authored-by: Ben Darnell <ben@bendarnell.com>

Merge pull request #3465 from hXtreme/jupyter-1503

Format HTTPError.log_message only if args provided

improve error message when run_sync does not complete for reasons other than timeout (#3436)

Merge pull request #3473 from bdarnell/http-abnf

httputil: Make parse_request_start_line stricter

httputil: Add test for 400 vs 405 method validation

Merge pull request #3475 from bdarnell/unpin-alpha

Revert "ci: Temporarily pin 3.14-alpha.4"

httputil: Make parse_request_start_line stricter

The method is now restricted to being valid token characters as defined
in RFC 9110, allowing us to correctly issue status code 400 or 405
as appropriate (this can make a difference with some caching proxies).

The request-target no longer allows control characters. This is less
strict than the RFC (which does not allow non-ascii characters),
but prioritizes backwards compatibility.

Fixes #3415
Closes #3338

httputil: Centralize regexes based directly on RFCs

This will make it easier to stay in strict conformance with the RFCs.
Note that this commit makes a few small semantic changes to response
start-line parsing: status codes must be exactly three digits, and
control characters are not allowed in reason phrases.

Revert "ci: Temporarily pin 3.14-alpha.4"

This reverts commit 5eea9534563340904fe010d0f7433d35cedb8dfb.

Merge pull request #3474 from bdarnell/fix-build

web_test: Fix the build

web_test: Fix the build

A PR that failed lint (#3451) was merged because CI somehow didn't run
on it.

Merge pull request #3451 from dave-shawley/allow-tab-in-header

Allow horizontal tabs in header values

Merge pull request #3472 from tornadoweb/dependabot/pip/jinja2-3.1.6

build(deps): bump jinja2 from 3.1.5 to 3.1.6

build(deps): bump jinja2 from 3.1.5 to 3.1.6

Bumps [jinja2](https://github.com/pallets/jinja) from 3.1.5 to 3.1.6.
- [Release notes](https://github.com/pallets/jinja/releases)
- [Changelog](https://github.com/pallets/jinja/blob/main/CHANGES.rst)
- [Commits](https://github.com/pallets/jinja/compare/3.1.5...3.1.6)

---
updated-dependencies:
- dependency-name: jinja2
  dependency-type: indirect
...

Signed-off-by: dependabot[bot] <support@github.com>

Merge pull request #3469 from bdarnell/strict-header-names

httputil: Enforce RFC rules for header names

httputil: Enforce RFC rules for header names

Previously we allowed nearly any string in header names, but
RFC 9110 restricts them to certain printable ASCII characters.

Fixes #3310
Fixes #2790

Add log_message property to HTTPError for backwards compatibility

Merge pull request #3466 from bdarnell/freethreading

ci: Add a cibuildwheel test run to test.yml and allow free-threaded builds

setup: Don't use stable ABI for free-threaded builds

Free-threading builds unfortunately require some intrusive build
changes, so we must make the stable ABI optional python 3.13t.

ci: Add a cibuildwheel test run to test.yml

This lets us test the cibuildwheel workflow independently of the
infrequently-run build.yml. It also gives us an easy way to test
freethreading builds.

Resolve RequestEncodingTest.test_error failure

Format HTTPError.log_message only if args provided

Attempts to fix the [jupyter_server/issues/1503](https://github.com/jupyter-server/jupyter_server/issues/1503) issue

Merge pull request #3464 from bdarnell/actions

ci: Use native arm builders

ci: Skip cp313-musllinux_i686 tests

This configuration has a bug which appears unrelated to Tornado:
https://github.com/python/cpython/issues/130522

ci: Use native arm builders

This speeds up the build job dramatically by eliminating the need for
emulation.

MacOS builds have also shifted to run on arm hosts instead of x86 hosts,
and it's now possible to run tests for both arm and x86 on the same
host.

Merge pull request #3463 from bdarnell/actions

ci: Analyze github action configs with zizmor

ci: Analyze github action configs with zizmor

Merge pull request #3457 from finnagin/arm64

Add windows arm64 build

Merge branch 'tornadoweb:master' into arm64

Merge pull request #3461 from bdarnell/deprecations-314

Python 3.14 deprecates the asyncio event loop policy system, so make (most of) the necessary changes.

The deprecation of set_event_loop is extremely disruptive to AsyncTestCase, so I've asked if it can remain undeprecated in python/cpython#130322. The testing.py changes are temporary until this is resolved.

Fixes #3458

ci: Temporarily pin 3.14-alpha.4

Alpha 5 has a bug that affects us, so pin alpha 4 until 6 is released.

https://github.com/python/cpython/issues/130380

testing: Suppress deprecation warnings in AsyncTestCase

This is a temporary measure to get CI passing while the fate of these
deprecation warnings is decided in
https://github.com/python/cpython/issues/130322

test: Avoid IOLoop(make_current=True)

This causes deprecation warnings in Python 3.14

asyncio: Use dynamic magic for AnyThreadEventLoopPolicy

Accessing the base policy classes now triggers a deprecation warning
so we must use our own getattr hook to avoid it except when needed.

asyncio_test: Remove obsolete cleanup logic

Per comments, we needed to set and restore the event loop policy
in Python 3.4, but it no longer seems to be necessary (and
raises DeprecationWarnings in Python 3.14).

Merge pull request #3454 from tornadoweb/dependabot/pip/virtualenv-20.26.6

build(deps): bump virtualenv from 20.26.2 to 20.26.6

add windows arm64 build

build(deps): bump virtualenv from 20.26.2 to 20.26.6

Bumps [virtualenv](https://github.com/pypa/virtualenv) from 20.26.2 to 20.26.6.
- [Release notes](https://github.com/pypa/virtualenv/releases)
- [Changelog](https://github.com/pypa/virtualenv/blob/main/docs/changelog.rst)
- [Commits](https://github.com/pypa/virtualenv/compare/20.26.2...20.26.6)

---
updated-dependencies:
- dependency-name: virtualenv
  dependency-type: indirect
...

Signed-off-by: dependabot[bot] <support@github.com>

Merge pull request #3452 from tornadoweb/dependabot/pip/jinja2-3.1.5

build(deps): bump jinja2 from 3.1.4 to 3.1.5

Invert web.RequestHandler._INVALID_HEADER_CHAR_RE

This makes the expression match what is in the RFC. I also added a test
for empty header values since I messed up the RE the first time around.

Exclude DEL character from header values

https://github.com/tornadoweb/tornado/pull/3451#discussion_r1894148653

Allow horizontal tabs in header values

Addresses: https://github.com/tornadoweb/tornado/issues/3450

build(deps): bump jinja2 from 3.1.4 to 3.1.5

Bumps [jinja2](https://github.com/pallets/jinja) from 3.1.4 to 3.1.5.
- [Release notes](https://github.com/pallets/jinja/releases)
- [Changelog](https://github.com/pallets/jinja/blob/main/CHANGES.rst)
- [Commits](https://github.com/pallets/jinja/compare/3.1.4...3.1.5)

---
updated-dependencies:
- dependency-name: jinja2
  dependency-type: indirect
...

Signed-off-by: dependabot[bot] <support@github.com>

Merge pull request #3447 from bdarnell/cookie-quadratic

httputil: Fix quadratic performance of cookie parsing

httputil: Fix quadratic performance of cookie parsing

Maliciously-crafted cookies can cause Tornado to
spend an unreasonable amount of CPU time and block
the event loop.

This change replaces the quadratic algorithm with
a more efficient one. The implementation is copied
from the Python 3.13 standard library (the
previous one was from Python 3.5).

Fixes CVE-2024-52804
See CVE-2024-7592 for a similar vulnerability in cpython.

Thanks to github.com/kexinoh for the report.

Merge pull request #3442 from bkad/master

Fix a docstring typo for the usage of asyncio.Event.wait

Merge pull request #3444 from nytakahashi/fix/typo_on_httputil_test

Fix typo in test variable name (requets -> request)

Merge pull request #3445 from bdarnell/py314-fix

ioloop_test: Skip a test that no longer works on py3.14

ioloop_test: Skip a test that no longer works on py3.14

This test uses implicit event loop creation but
avoided deprecation warnings because it ran in a
subprocess. Surprisingly, it is the only test we
have left for this pattern.

fix: typo

Fix Event.wait typo

Merge pull request #3438 from bdarnell/no-persist-credentials

ci: Remove persist-credentials from our CI workflows

ci: Remove persist-credentials from our CI workflows

This mitigates a potential security risk identified by zizmor.

Merge pull request #3433 from bdarnell/abi3audit

setup: Simplify build of abi3 wheels and add tests

setup: Remove override of bdist_wheel

This is no longer necessary in recent versions of setuptools
(and we now check that abi3 is used properly in official releases).
The bdist_wheel implementation is being moved from the wheel package
into setuptools so overriding it will stop working in the future.

Follows the example of https://github.com/joerick/python-abi3-package-sample/pull/30

Replaces #3425

ci: Run abi3audit on built wheels

ci: Update macos version used for release builds

macos-12 is leaving support soon; macos-15 is currently the
latest version.

See https://github.com/actions/runner-images/issues/10721

Merge pull request #3428 from bdarnell/py314a1

ci: Add python 3.14a1 to test matrix

tox.ini: Remove some redundant lists of python versions

ci: Add python 3.14a1 to test matrix

Merge pull request #3422 from bdarnell/py-38-313

Officially declare support for py3.13, drop 3.8

Officially declare support for py3.13, drop 3.8

Merge pull request #3420 from bdarnell/rtd

docs: Add readthedocs configuration

docs: Add readthedocs configuration

RTD will no longer do this automagically, so we need to add these
lines explicitly for compatibility. See
https://about.readthedocs.com/blog/2024/07/addons-by-default/

Merge pull request #3417 from cjwatson/twisted-24.7.0

Fix tests with Twisted 24.7.0

Fix tests with Twisted 24.7.0

`twisted.internet.defer.returnValue` was needed on Python 2, but on
Python 3 a simple `return` statement works fine.  Twisted 24.7.0
deprecated the former, causing
`tornado.test.twisted_test.ConvertDeferredTest.test_success` to fail.

Merge pull request #3414 from bdarnell/test-skip-cleanup

test: Clean up code related to old versions of python

web: do not send 500 on invalid If-Modified-Since header (#3412)

https://github.com/tornadoweb/tornado/issues/3408

test.util: Remove our private compatibility shim for subTests

web_test: Remove obsolete compatibility with python 3.4

*: Remove references to old python versions

Mainly in docs that say things like "you can only use this if you're
using python 3.2".

test: Remove some obsolete checks for old python versions

test: Remove skipOnTravis

We haven't used Travis for CI in a long time, and our current CI
system is much less overloaded so these timing-sensitive tests are
no longer flaky.

Merge pull request #3413 from bdarnell/test-mixins

Extract abstract base test logic from UnixSocketTest

test: Adopt abstract_base_test in websocket_test.py

test: Adopt abstract_base_test in simple_httpclient_test.py

test: Adopt abstract_base_test in netutil_test.py

test: Remove broken tests for legacy TLS versions

The get_ssl_version method in these tests has been
silently ignored for a long time (forever?) due to
MRO issues (if they weren't ignored, they'd have
started throwing deprecation warnings), and they
were never updated for more recent versions of
TLS. There doesn't appear to be much value in
rehabilitating these tests so just get rid of all
but the base configuration.

test: Remove an obsolete mixin pattern in concurrent_test

All but one implementation of this mixin has been removed, so we
no longer need the abstraction.

test: Adopt @abstract_base_test in iostream_test

Removes some typing-related hacks, but unfortunately introduces
another MRO-related hack.

test: Extract "abstract" test logic into a decorator

This makes the pattern reusable (and discoverable) for other tests.

Also exclude these skipped tests from the reporting that is meant
to highlight environmental issues.

This could potentially move to tornado.testing (or even upstream to
the stdlib) if it proves generally useful.

test: Fix names of test cases added in #3405

Oops, these tests were named backwards.

Add support for binding Unix sockets in Linux's abstract namespace. (#3405)

Merge pull request #3411 from tornadoweb/dependabot/pip/certifi-2024.7.4

build(deps): bump certifi from 2024.6.2 to 2024.7.4

build(deps): bump certifi from 2024.6.2 to 2024.7.4

Bumps [certifi](https://github.com/certifi/python-certifi) from 2024.6.2 to 2024.7.4.
- [Commits](https://github.com/certifi/python-certifi/compare/2024.06.02...2024.07.04)

---
updated-dependencies:
- dependency-name: certifi
  dependency-type: indirect
...

Signed-off-by: dependabot[bot] <support@github.com>

Merge pull request #3404 from yuemxu/typing-get-cookie

web: More accurate typing for get_cookie

Merge pull request #3410 from bdarnell/util-test

test: Verify that tornado.version and version_info match

util_test: Slightly clean up old-style type annotations

test: Replace a long-skipped test for tornado.util.exec_in

This test was first written to rely on the print_function future import
in Python 2.7, so it's been skipped since we dropped Python 2.
Use the annotations future import introduced in Python 3.7 instead.

test: Verify that tornado.version and version_info match

These two values should always match, but they're updated
manually so test to catch mistakes.

Closes #3406

Merge pull request #3407 from tornadoweb/dependabot/pip/urllib3-2.2.2

build(deps): bump urllib3 from 2.2.1 to 2.2.2

Merge pull request #3403 from bdarnell/pyupgrade

*: Automated changes from pyupgrade

build(deps): bump urllib3 from 2.2.1 to 2.2.2

Bumps [urllib3](https://github.com/urllib3/urllib3) from 2.2.1 to 2.2.2.
- [Release notes](https://github.com/urllib3/urllib3/releases)
- [Changelog](https://github.com/urllib3/urllib3/blob/main/CHANGES.rst)
- [Commits](https://github.com/urllib3/urllib3/compare/2.2.1...2.2.2)

---
updated-dependencies:
- dependency-name: urllib3
  dependency-type: indirect
...

Signed-off-by: dependabot[bot] <support@github.com>

web: More accurate typing for get_cookie

*: Switch from percent formatting to f-strings

Automated change using pyupgrade in two passes (once to go from percent
formatting to str.format, then to go from str.format to f-strings),
followed by black.

This left a few uses of str.format for unknown reasons.