Lançamento do Django 6

• A versão 6.0 do framework web Django foi lançada com suporte a Python 3.12 ou superior, e trouxe reforços significativos de segurança, templates e recursos assíncronos
• O Content Security Policy (CSP) agora é incorporado por padrão para configurar políticas de defesa contra ataques de injeção de conteúdo, como XSS
• O recurso Template Partials melhora a modularização do código ao permitir definir partes reutilizáveis dentro de templates
• O framework de Background Tasks foi adicionado para suportar a execução de tarefas assíncronas fora do ciclo de requisição-resposta
• A adoção da API de e-mail mais moderna do Python, o fim do suporte ao MariaDB 10.5 e a alteração do valor padrão de DEFAULT_AUTO_FIELD representam ajustes de compatibilidade e modernização

Compatibilidade com Python

• O Django 6.0 oferece suporte a Python 3.12, 3.13 e 3.14, e somente as versões mais recentes de cada série contam com suporte oficial
• O Django 5.2.x é a última versão com suporte a Python 3.10 e 3.11
• Após o Django 6.0, é recomendável que aplicativos de terceiros deixem de dar suporte a versões anteriores ao Django 5.2

Principais novidades

Suporte ao Content Security Policy (CSP)

• O Django passou a incluir nativamente o padrão CSP, fortalecendo a proteção contra ataques de injeção de conteúdo, como XSS
  • É possível definir políticas por meio de ContentSecurityPolicyMiddleware, do processador de contexto csp() e da configuração SECURE_CSP
  • Configuração baseada em dicionário Python para compor políticas de forma clara e segura
• O modo de monitoramento pode ser ativado com SECURE_CSP_REPORT_ONLY
• Decorador para sobrescrever ou desativar a política por view disponível

Template Partials

• Adição das tags partialdef e partial para definir e reutilizar fragmentos de template
• A sintaxe template_name#partial_name permite referência direta em get_template(), render(), {% include %} e similares
• Incluído guia de migração para usuários do pacote de terceiros django-template-partials

Framework de Background Tasks

• Adição ao Django de um framework embutido para execução de tarefas assíncronas
  • Permite enviar e-mails, processar dados etc. fora do ciclo de requisição-resposta HTTP
  • Definição de tarefas com o decorador @task e enfileiramento via enqueue()
• O backend é definido com a configuração TASKS, e inclui dois backends padrão para desenvolvimento e testes
• O Django se responsabiliza pela criação e enfileiramento das tarefas, enquanto a execução é feita por processos worker externos

Adoção da API moderna de e-mail do Python

• A lógica de e-mail do Django migrou para a API moderna do Python a partir do 3.6 (email.message.EmailMessage)
• As classes SafeMIMEText e SafeMIMEMultipart deixaram de ser utilizadas
• O tipo de retorno de EmailMessage.message() foi alterado para uma instância de EmailMessage do Python

Melhorias detalhadas

Admin

• Aplicado o conjunto de ícones Font Awesome Free 6.7.2
• Personalização do formulário de alteração de senha do admin via propriedade AdminSite.password_change_form
• Aplicação de ícones e estilos CSS distintos para messages.DEBUG e messages.INFO

Auth

• O número de iterações de hash do PBKDF2 aumentou de 1.000.000 para 1.200.000

GIS

• É possível verificar a presença da dimensão M com o atributo GEOSGeometry.hasm
• Suporte a rotação por ângulo usando a função Rotate
• O atributo BaseGeometryWidget.base_layer permite customizar o provedor de tiles do mapa
• Recursos como coveredby, isvalid, GeoHash e IsValid passaram a ser suportados no MariaDB 12.0.1+
• JavaScript inline removido na renderização de widgets; ao personalizar, pode ser necessário ajustar o template

PostgreSQL

• Adicionada a expressão Lexeme para reforçar o controle de pesquisa textual completa
• Parâmetro hints adicionado a operações relacionadas a extensões como CreateExtension
• Adicionadas verificações de sistema para campos, índices e constraints relacionados ao django.contrib.postgres

Staticfiles

• ManifestStaticFilesStorage agora garante consistência de ordenação de caminhos, reduzindo diffs desnecessários
• O comando collectstatic passa a exibir apenas um resumo por padrão; detalhes aparecem com --verbosity 2 ou superior

Outros

• Adicionado suporte ao idioma Haitian Creole
• Os comandos startproject e startapp passam a criar automaticamente diretórios inexistentes
• O comando shell importa automaticamente utilitários padrão, como django.conf.settings
• Suporte à serialização de zoneinfo.ZoneInfo em migrações
• Novas funções de agregação adicionadas, como StringAgg e AnyValue
• Suporte a paginação assíncrona com AsyncPaginator e AsyncPage
• Suporte a múltiplos cabeçalhos de cookie em ambiente HTTP/2 no ASGI
• Adição da variável forloop.length no template e melhora no tag querystring
• DiscoverRunner suporta testes paralelos usando o modo forkserver

Mudanças sem compatibilidade

API de backend de banco de dados

• BaseDatabaseSchemaEditor e o backend PostgreSQL descontinuaram o uso de CASCADE na remoção de colunas
• Mudança de nomes de método, como de return_insert_columns() para returning_columns()
• Quando houver suporte a UPDATE … RETURNING, é possível definir DatabaseFeatures.can_return_rows_from_update=True

Deprecations

• Fim do suporte ao MariaDB 10.5 (requer 10.6 ou superior)
• Fim do suporte para Python abaixo de 3.12
  • Versões mínimas principais: aiosmtpd 1.4.5, bcrypt 4.1.1, Pillow 10.1.0, psycopg 3.1.12, entre outras

Email

• Removidos os atributos mixed_subtype, alternative_subtype e encoding
• Alterações internas exigem validação de subclasses customizadas de EmailMessage

Alteração do valor padrão de DEFAULT_AUTO_FIELD

• O padrão mudou de AutoField para BigAutoField
• Projetos que ignoraram o aviso do Django 3.2 (models.W042) precisam adicionar uma configuração

Expressões ORM

• O parâmetro de retorno do método as_sql() deve ser uma tupla

Outros

• Sempre adicionar newline na serialização JSON
• Versão mínima do asgiref foi aumentada para 3.9.1

Recursos planejados para descontinuação

API django.core.mail

• Em get_connection(), send_mail() e similares, argumentos opcionais devem ser passados apenas por nome de parâmetro
• Ao instanciar EmailMessage e EmailMultiAlternatives, apenas os quatro primeiros argumentos podem ser posicionais; os demais devem ser nomeados

Outros

• Removido BaseDatabaseCreation.create_test_db(serialize), usar serialize_db_to_string()
• Descontinuados StringAgg e OrderableAggMixin exclusivos do PostgreSQL
• O protocolo padrão de urlize e urlizetrunc mudará para HTTPS no Django 7.0
• As configurações ADMINS e MANAGERS devem ser informadas como lista de strings de e-mail, e não mais tuplas (nome, endereço)
• Descontinuadas classes relacionadas a e-mail, como SafeMIMEText, SafeMIMEMultipart e BadHeaderError

Funções removidas

• Removido o suporte a argumentos posicionais em BaseConstraint
• Removidos DjangoDivFormRenderer e Jinja2DivFormRenderer
• Removido o suporte ao driver de banco de dados cx_Oracle
• O esquema padrão de forms.URLField foi alterado de "http" para "https"
• Removido o suporte a argumentos posicionais em Model.save() e Model.asave()
• Removidos ModelAdmin.log_deletion() e LogEntryManager.log_action()
• Removido o módulo django.utils.itercompat
• Removidos os métodos GeoIP2.coords() e GeoIP2.open()
• Removidos ForeignObject.get_joining_columns() e métodos relacionados

O Django 6.0 aumentou a robustez e a escalabilidade do framework com melhorias de segurança, tarefas assíncronas e adoção de uma API moderna de e-mail, além de consolidar a migração para ambientes com Python 3.12+.