web_test: Move an ignore_deprecation block

When warnings are in context-aware mode (the default in free-threaded
Python 3.14), the server captures the context from setUp and does not
see the warning filter installed in the test method. Move the warning
filter into the handler so it works consistently regardless of the
context_aware_warnings flag.

Updates #3501

Build cp314 & cp314t wheels (#3525)

* Build cp314 & cp314t wheels

* Fix formatting

Merge pull request #3528 from bdarnell/ping-interval-fix

websocket_ping: fix ping interval with non-zero timeout

Merge pull request #3524 from hroncok/patch-1

Do not require wheel for building

websocket: Expand testing of next-ping calculation

Includes end-to-end tests that the correct number of pings are sent
(piggybacking on an existing test) and a unit test for the
`ping_sleep_time` calculation.

websocket_ping: fix ping interval with non-zero timeout and improve docs.

* Fix a bug that caused the ping interval to be less frequent than
  configured.
* Fix erroneous documentation of the websocket_ping_timeout default and
  clarify units for the ping interval.

Merge pull request #3526 from bdarnell/windows-file-test

web_test: Add test for windows special filenames in StaticFileHandler

web_test: Add test for windows special filenames in StaticFileHandler

Merge pull request #3523 from killerdevildog/fix-file-uploader-coroutine-issue-3182

Fix ValueError in file_uploader.py by converting @gen.coroutine to as…

Do not require wheel for building

 - current version of setuptools (70.1+) does not need wheel at all
 - older versions of setuptools would fetch wheel when building wheels (but not sdists)

Fix ValueError in file_uploader.py by converting @gen.coroutine to async/await

Fixes #3182

The file_uploader.py demo was failing with ValueError when trying to upload files
because @gen.coroutine decorated functions return tornado.concurrent.Future objects,
but asyncio.run() expects native coroutines.

This change converts the @gen.coroutine decorated functions to native async/await
syntax, which is the modern recommended approach and resolves the compatibility
issue with asyncio.run().

Changes:
- Remove tornado.gen import
- Convert @gen.coroutine decorators to async def
- Convert all yield statements to await
- Maintains backward compatibility with existing Tornado versions

Merge pull request #3521 from bdarnell/host-error-handling

http1connection: Improve error logging for invalid host headers

http1connection: Improve error logging for invalid host headers

This was previously being logged as an uncaught exception in application
code, which is wrong for a malformed request. HTTPInputError now passes
through the app-error logging to be caught and reported as a 400
(which logs at the warning level to the access log and info to the
general log).

Fixes #3510

Merge pull request #3519 from bdarnell/fix-host-argument

httputil: Restore the host argument to HTTPServerRequest

httputil: Restore the host argument to HTTPServerRequest

This argument was mistakenly removed in Tornado 6.5.0 with no warning;
it is now back but deprecated. The host header should be used instead.

Updates #3468

Add overloads to gen.multi() (#3515)

Add overloads to gen.multi(). Closes #3514.

Merge pull request #3512 from tornadoweb/dependabot/pip/urllib3-2.5.0

build(deps): bump urllib3 from 2.4.0 to 2.5.0

build(deps): bump urllib3 from 2.4.0 to 2.5.0

Bumps [urllib3](https://github.com/urllib3/urllib3) from 2.4.0 to 2.5.0.
- [Release notes](https://github.com/urllib3/urllib3/releases)
- [Changelog](https://github.com/urllib3/urllib3/blob/main/CHANGES.rst)
- [Commits](https://github.com/urllib3/urllib3/compare/2.4.0...2.5.0)

---
updated-dependencies:
- dependency-name: urllib3
  dependency-version: 2.5.0
  dependency-type: indirect
...

Signed-off-by: dependabot[bot] <support@github.com>

Merge pull request #3511 from tornadoweb/bdarnell-patch-1

httputil: Remove a debug print left in by mistake

httputil: Remove a debug print left in by mistake

Found thanks to #3510

Merge pull request #3509 from tornadoweb/dependabot/pip/requests-2.32.4

build(deps): bump requests from 2.32.3 to 2.32.4

build(deps): bump requests from 2.32.3 to 2.32.4

Bumps [requests](https://github.com/psf/requests) from 2.32.3 to 2.32.4.
- [Release notes](https://github.com/psf/requests/releases)
- [Changelog](https://github.com/psf/requests/blob/main/HISTORY.md)
- [Commits](https://github.com/psf/requests/compare/v2.32.3...v2.32.4)

---
updated-dependencies:
- dependency-name: requests
  dependency-version: 2.32.4
  dependency-type: indirect
...

Signed-off-by: dependabot[bot] <support@github.com>

Merge pull request #3506 from bdarnell/windows-arm

ci: Use Windows ARM builders

ci: Use Windows ARM builders

Now that native ARM builders are available for windows, we can use
them instead of cross-compiling. This improves parallelism in our build
and speeds things up a bit, plus we can test the windows-arm builds now.

Also stop producing x86_64 builds for macos, since they are redundant
with the universal2 builds (the x86_64 builds were useful with older
version of pip, but they've been fully supported for 5 years now).

Merge pull request #3505 from bdarnell/dep-updates

Dependency updates

ci: Bump dependencies in github actions

ci: Bump lint/docs/misc python version to 3.13

Update python dependencies

Notably including mypy, which required some updates to various
code files to improve type annotations.

Merge pull request #3504 from bdarnell/multipart-utf8-master

httputil: Fix support for non-latin1 filenames in multipart uploads

Merge remote-tracking branch 'origin/branch6.5' into multipart-utf8-master

Merge pull request #3503 from bdarnell/multipart-utf8

httputil: Fix support for non-latin1 filenames in multipart uploads

Release notes for v6.5.1

httputil: Fix support for non-latin1 filenames in multipart uploads

The change to be stricter about characters allowed in HTTP headers
inadvertently broke support for non-latin1 filenames in multipart
uploads (this was missed in testing because our i18n test case only
used characters in latin1). This commit adds a hacky workaround without
changing any APIs to make it safe for a 6.5.1 patch release; a more
robust solution will follow for future releases.

Fixes #3502

Merge pull request #3499 from bdarnell/dev-bump

Bump master branch version to 6.6.dev1

Bump master branch version to 6.6.dev1

Merge pull request #3498 from bdarnell/final-6.5

Final release notes for 6.5.0

Final release notes for 6.5.0

Merge pull request #3497 from bdarnell/multipart-log-spam

httputil: Raise errors instead of logging in multipart/form-data parsing

httputil: Raise errors instead of logging in multipart/form-data parsing

We used to continue after logging an error, which allowed repeated
errors to spam the logs. The error raised here will still be logged,
but only once per request, consistent with other error handling in
Tornado.

asyncio: Preserve contextvars across SelectorThread on Windows (#3479)

contextvars that were set on the main thread at event loop creation need to be preserved across callbacks that pass through the SelectorThread.

Merge pull request #3496 from bdarnell/undeprecate-set-event-loop

testing: Remove deprecation warning filter for set_event_loop

requirements: Upgrade tox to 4.26.0

This resolves a conflict between older versions of tox and
Python 3.14b1.

testing: Remove deprecation warning filter for set_event_loop

The deprecation warning for this function was reverted for 3.14b1.

See https://github.com/python/cpython/issues/130322

build: Fix free-threaded build, mark speedups module as no-GIL

Merge pull request #3492 from bdarnell/relnotes-6.5

Prepare for release 6.5b1

Bump version to 6.5b1

docs: Add release notes for 6.5

Merge pull request #3491 from bdarnell/merge-642

docs: Copy 6.4.2 release notes to master branch

routing: Fix lint after merge that missed CI

docs: Copy 6.4.2 release notes to master branch

Merge pull request #3455 from mhils/patch-1

Improve type signature for `_RuleList`

Merge pull request #3478 from jrheard-seesaw/3142-gen-multi-typing

#3142: Improve usability of multi() and multi_future() type annotations

Merge pull request #3490 from bdarnell/prepare-docs

web: Update docstrings for prepare and on_finish

web: Update docstrings for prepare and on_finish

Document the fact that sometimes prepare() is not called, even if
initialize() and on_finish() are.

Updates #3430
Closes #3431

Merge pull request #3489 from bdarnell/field-value

httputil: Forbid control chars and CR in header values

httputil: Forbid control chars and CR in header values

NUL, CR, and other control characters are not allowed in HTTP header
values.

Fixes #3481

Merge pull request #3488 from bdarnell/obs-fold

httputil: Reject header lines beginning with invalid whitespace

httputil: Reject header lines beginning with invalid whitespace

The obs-fold feature is defined only for tabs and spaces.
The str.isspace() method also accepts other whitespace characters.
These characters are not valid in HTTP headers and should be treated
as errors instead of triggering line folding.

Fixes #3480

Merge pull request #3487 from bdarnell/strict-host

httputil: Process the Host header more strictly

httputil: Process the Host header more strictly

- It is now an error to have multiple Host headers
- The Host header is now mandatory except in HTTP/1.0 mode
- Host headers containing characters that are disallowed by RFC 3986
  are now rejected

Fixes #3468

Merge pull request #3486 from bdarnell/websocket-deprecate-callback

websocket: deprecate callback argument to websocket_connect

websocket: deprecate callback argument to websocket_connect

This was missed in the 6.0-era deprecation of callback arguments.
The on_message_callback remains because even in coroutine-oriented
code it is often more convenient to use a callback than to
loop on read_message.

Merge pull request #3485 from bdarnell/template-docs

docs: Document the need to use json_encode in javascript contexts

Merge pull request #3477 from bdarnell/header-trailing-whitespace

httputil: Improve handling of trailing whitespace in headers

docs: Document the need to use json_encode in javascript contexts

This has always been necessary but we didn't have any explicit guidance
for using javascript in templates before.

Merge pull request #3483 from bdarnell/websocket-docs

websocket: Small doc updates

websocket: Small doc updates

- Mention units for ping settings (#2655)
- Remove obsolete reference to 30s default timeout
- Link to a more recent version of python docs

Merge pull request #3484 from bdarnell/zizmor-config

ci: Add zizmor config file

ci: Add zizmor config file

This restores behavior of version 1.5.2 to be more lenient for
pypa and astral-sh repos.

websockets: fix ping_timeout (#3376)

* websockets: fix ping_timeout

* Closes #3258
* Closes #2905
* Closes #2655
* Fixes an issue with the calculation of ping timeout interval that
  could cause connections to be erroneously timed out and closed
  from the server end.

* websocket: Fix lint, remove hard-coded 30s default timeout

* websocket_test: Improve assertion error messages

* websocket_test: Allow a little slack in ping timing

Appears to be necessary on windows.

---------

Co-authored-by: Ben Darnell <ben@bendarnell.com>

Merge pull request #3465 from hXtreme/jupyter-1503

Format HTTPError.log_message only if args provided

Move Sequence import out of TYPE_CHECKING condition

#3142: Improve usability of multi() and multi_future() type annotations

httputil: Improve handling of trailing whitespace in headers

HTTPHeaders had undocumented assumptions about trailing whitespace,
leading to an unintentional regression in Tornado 6.4.1 in which
passing the arguments of an AsyncHTTPClient header_callback to
HTTPHeaders.parse_line would result in errors.

This commit moves newline parsing from parse to parse_line.
It also strips trailing whitespace from continuation lines (trailing
whitespace is not allowed in HTTP headers, but we didn't reject it
in continuation lines).

This commit also deprecates continuation lines and the legacy
handling of LF without CR.

Fixes #3321

improve error message when run_sync does not complete for reasons other than timeout (#3436)

Merge pull request #3473 from bdarnell/http-abnf

httputil: Make parse_request_start_line stricter

httputil: Add test for 400 vs 405 method validation

Merge pull request #3475 from bdarnell/unpin-alpha

Revert "ci: Temporarily pin 3.14-alpha.4"

httputil: Make parse_request_start_line stricter

The method is now restricted to being valid token characters as defined
in RFC 9110, allowing us to correctly issue status code 400 or 405
as appropriate (this can make a difference with some caching proxies).

The request-target no longer allows control characters. This is less
strict than the RFC (which does not allow non-ascii characters),
but prioritizes backwards compatibility.

Fixes #3415
Closes #3338

httputil: Centralize regexes based directly on RFCs

This will make it easier to stay in strict conformance with the RFCs.
Note that this commit makes a few small semantic changes to response
start-line parsing: status codes must be exactly three digits, and
control characters are not allowed in reason phrases.

Revert "ci: Temporarily pin 3.14-alpha.4"

This reverts commit 5eea9534563340904fe010d0f7433d35cedb8dfb.

Merge pull request #3474 from bdarnell/fix-build

web_test: Fix the build

web_test: Fix the build

A PR that failed lint (#3451) was merged because CI somehow didn't run
on it.

Merge pull request #3451 from dave-shawley/allow-tab-in-header

Allow horizontal tabs in header values

Merge pull request #3472 from tornadoweb/dependabot/pip/jinja2-3.1.6

build(deps): bump jinja2 from 3.1.5 to 3.1.6

build(deps): bump jinja2 from 3.1.5 to 3.1.6

Bumps [jinja2](https://github.com/pallets/jinja) from 3.1.5 to 3.1.6.
- [Release notes](https://github.com/pallets/jinja/releases)
- [Changelog](https://github.com/pallets/jinja/blob/main/CHANGES.rst)
- [Commits](https://github.com/pallets/jinja/compare/3.1.5...3.1.6)

---
updated-dependencies:
- dependency-name: jinja2
  dependency-type: indirect
...

Signed-off-by: dependabot[bot] <support@github.com>

Merge pull request #3469 from bdarnell/strict-header-names

httputil: Enforce RFC rules for header names

httputil: Enforce RFC rules for header names

Previously we allowed nearly any string in header names, but
RFC 9110 restricts them to certain printable ASCII characters.

Fixes #3310
Fixes #2790

Add log_message property to HTTPError for backwards compatibility

Merge pull request #3466 from bdarnell/freethreading

ci: Add a cibuildwheel test run to test.yml and allow free-threaded builds

setup: Don't use stable ABI for free-threaded builds

Free-threading builds unfortunately require some intrusive build
changes, so we must make the stable ABI optional python 3.13t.

ci: Add a cibuildwheel test run to test.yml

This lets us test the cibuildwheel workflow independently of the
infrequently-run build.yml. It also gives us an easy way to test
freethreading builds.

Resolve RequestEncodingTest.test_error failure

Format HTTPError.log_message only if args provided

Attempts to fix the [jupyter_server/issues/1503](https://github.com/jupyter-server/jupyter_server/issues/1503) issue

Merge pull request #3464 from bdarnell/actions

ci: Use native arm builders

ci: Skip cp313-musllinux_i686 tests

This configuration has a bug which appears unrelated to Tornado:
https://github.com/python/cpython/issues/130522

ci: Use native arm builders

This speeds up the build job dramatically by eliminating the need for
emulation.

MacOS builds have also shifted to run on arm hosts instead of x86 hosts,
and it's now possible to run tests for both arm and x86 on the same
host.

Merge pull request #3463 from bdarnell/actions

ci: Analyze github action configs with zizmor

ci: Analyze github action configs with zizmor

Merge pull request #3457 from finnagin/arm64

Add windows arm64 build