Efter 13 måneders udvikling ny stabil filial frigivet Højtydende HTTP-server og multi-protokol proxyserver nginx 1.22.0, som inkorporerer ændringerne akkumuleret i 1.21.x hovedgrenen.
I fremtiden alle ændringer i den 1.22 stabile gren vil være relateret til fejlretning og alvorlige sårbarheder. Hovedgrenen af nginx 1.23 vil snart blive dannet, hvor udviklingen af nye funktioner vil fortsætte.
For almindelige brugere, der ikke har til opgave at sikre kompatibilitet med tredjepartsmoduler, anbefales det at bruge hovedgrenen, på grundlag af hvilke versioner af det kommercielle produkt Nginx Plus dannes hver tredje måned.
Vigtigste nyheder i nginx 1.22.0
I denne nye version af nginx 1.22.0, der præsenteres, er Forbedret beskyttelse mod HTTP Request Smugling klasseangreb i front-end-backend-systemer, der giver dig adgang til indholdet af andre brugeres anmodninger behandlet i samme tråd mellem front-end og back-end. Nginx returnerer nu altid en fejl ved brug af CONNECT metoden; ved samtidig at specificere "Content-Length" og "Transfer-Encoding" overskrifterne; når der er mellemrum eller kontroltegn i forespørgselsstrengen, HTTP-headernavn eller "Host"-headerværdi.
En anden nyhed, der skiller sig ud i denne nye version, er det tilføjet støtte til variabler til direktiver "proxy_ssl_certificate", "proxy_ssl_certificate_key", "grpc_ssl_certificate", "grpc_ssl_certificate_key", "uwsgi_ssl_certificate" og "uwsgi_ssl_certificate_key".
Derudover er det også bemærket, at det er tilføjet understøttelse af "pipelining"-tilstand at sende flere POP3- eller IMAP-anmodninger på samme forbindelse til mail-proxy-modulet, samt et nyt "max_errors"-direktiv, der angiver det maksimale antal protokolfejl, hvorefter forbindelsen lukkes.
Overskrifter "Auth-SSL-Protocol" og "Auth-SSL-Cipher" sendes til mail proxy-godkendelsesserveren, plus understøttelse af ALPN TLS-udvidelsen blev tilføjet til transmissionsmodulet. For at bestemme listen over understøttede ALPN-protokoller (h2, http/1.1), foreslås ssl_alpn-direktivet, og for at få information om ALPN-protokollen aftalt med klienten, variablen $ssl_alpn_protocol.
Af de andre ændringer der skiller sig ud:
- Blokering af HTTP/1.0-anmodninger, der inkluderer "Transfer-Encoding" HTTP-headeren (introduceret i HTTP/1.1-protokolversionen).
- FreeBSD-platformen har forbedret understøttelse af sendfile-systemopkaldet, som er designet til at orkestrere en direkte overførsel af data mellem en filbeskrivelse og en socket. Sendfile(SF_NODISKIO)-tilstanden er permanent aktiveret, og understøttelse af sendfile(SF_NOCACHE)-tilstanden er blevet tilføjet.
- Parameteren "fastopen" er blevet tilføjet til sendemodulet, som muliggør "TCP Fast Open"-tilstand for lyttestik.
- Rettet escape af tegn """, "<", ">", "\", "^", "`", "{", "|" og "}", når du bruger proxy med URI-ændring.
- Direktivet proxy_half_close er blevet tilføjet til stream-modulet, hvormed adfærden, når en proxy TCP-forbindelse er lukket på den ene side ("TCP half-close") kan konfigureres.
- Tilføjet et nyt mp4_start_key_frame-direktiv til ngx_http_mp4_module-modulet for at streame en video fra en nøgleramme.
- Tilføjet $ssl_curve-variabel for at returnere typen af elliptisk kurve valgt til nøgleforhandling i en TLS-session.
- Sendfile_max_chunk-direktivet ændrede standardværdien til 2 megabyte;
- Support leveres med OpenSSL 3.0-biblioteket. Tilføjet support til at kalde SSL_sendfile() ved brug af OpenSSL 3.0.
- Samling med PCRE2-biblioteket er aktiveret som standard og giver funktioner til behandling af regulære udtryk.
- Ved indlæsning af servercertifikater er brugen af sikkerhedsniveauer understøttet siden OpenSSL 1.1.0 og indstillet via parameteren "@SECLEVEL=N" i ssl_ciphers-direktivet blevet justeret.
- Fjernet understøttelse af eksportchifferpakke.
- I request body filtering API er buffering af behandlede data tilladt.
- Fjernet understøttelse af etablering af HTTP/2-forbindelser ved hjælp af NPN-udvidelsen (Next Protocol Negotiation) i stedet for ALPN.
Endelig hvis du er interesseret i at vide mere om det, kan du kontrollere detaljerne I det følgende link.