לאחר 13 חודשי פיתוח סניף יציב חדש יצא לאור שרת HTTP בעל ביצועים גבוהים ושרת פרוטוקול מרובה פרוטוקולים nginx 1.22.0, המשלבת את השינויים שהצטברו בסניף הראשי 1.21.x.
בעתיד, כל השינויים בענף היציב 1.22 יהיו קשורים לניפוי באגים ופגיעות חמורות. בקרוב יווצר הסניף הראשי של nginx 1.23, בו יימשך הפיתוח של תכונות חדשות.
למשתמשים רגילים שאין להם את המשימה להבטיח תאימות עם מודולים של צד שלישי, מומלץ להשתמש בסניף הראשי, על סמך אילו גרסאות של המוצר המסחרי Nginx Plus נוצרות כל שלושה חודשים.
חדשות עיקריות ב-nginx 1.22.0
בגרסה החדשה הזו של nginx 1.22.0 המוצגת, ה הגנה משופרת מפני התקפות מעמד הברחת בקשות HTTP במערכות קדמיות-עורפיות המאפשרות לך לגשת לתוכן של בקשות של משתמשים אחרים המעובדים באותו שרשור בין ה-front-end ל-back-end. Nginx מחזירה כעת תמיד שגיאה בעת שימוש בשיטת CONNECT; על ידי ציון בו זמנית של הכותרות "אורך תוכן" ו"קידוד העברה"; כאשר יש רווחים או תווי בקרה במחרוזת השאילתה, שם כותרת ה-HTTP או ערך הכותרת "מארח".
חידוש נוסף שבולט בגרסה החדשה הזו הוא זה הוסיפה תמיכה במשתנים להנחיות "proxy_ssl_certificate", "proxy_ssl_certificate_key", "grpc_ssl_certificate", "grpc_ssl_certificate_key", "uwsgi_ssl_certificate" ו-"uwsgi_ssl_certificate_key".
בנוסף, מצוין גם שהוא נוסף תמיכה במצב "צנרת". לשלוח מספר בקשות POP3 או IMAP באותו חיבור למודול ה-proxy של הדואר, וכן הנחיית "max_errors" חדשה המציינת את המספר המרבי של שגיאות פרוטוקול שאחריהן ייסגר החיבור.
כותרות "Auth-SSL-Protocol" ו-"Auth-SSL-Cipher" מועברים לשרת האימות של פרוקסי הדואר, בנוסף נוספה תמיכה בהרחבה ALPN TLS למודול השידור. כדי לקבוע את רשימת פרוטוקולי ה-ALPN הנתמכים (h2, http/1.1), מוצעת ההנחיה ssl_alpn, וכדי לקבל מידע על פרוטוקול ALPN שסוכם עם הלקוח, המשתנה $ssl_alpn_protocol.
משאר השינויים הבולטים:
- חסימת בקשות HTTP/1.0 הכוללות את כותרת ה-HTTP "Transfer-Encoding" (הוצגה בגרסת פרוטוקול HTTP/1.1).
- פלטפורמת FreeBSD שיפרה תמיכה בקריאת מערכת sendfile, אשר נועדה לארגן העברה ישירה של נתונים בין מתאר קובץ לשקע. מצב sendfile(SF_NODISKIO) מופעל לצמיתות ונוספה תמיכה במצב sendfile(SF_NOCACHE).
- פרמטר "fastopen" נוסף למודול השידור, המאפשר מצב "TCP Fast Open" עבור שקעי האזנה.
- תיקון בריחה של התווים """, "<", ">", "\", "^", "`", "{", "|" ו-"}" בעת שימוש ב-proxy עם שינוי URI.
- ההנחיה proxy_half_close נוספה למודול הזרם, באמצעותה ניתן להגדיר את ההתנהגות כאשר חיבור TCP proxy נסגר בצד אחד ("TCP half-close").
- נוספה הוראת mp4_start_key_frame חדשה למודול ngx_http_mp4_module כדי להזרים סרטון ממסגרת מפתח.
- נוסף משתנה $ssl_curve כדי להחזיר את סוג העקומה האליפטית שנבחרה למשא ומתן על מפתח בהפעלת TLS.
- ההנחיה sendfile_max_chunk שינתה את ערך ברירת המחדל ל-2 מגה-בייט;
- תמיכה מסופקת עם ספריית OpenSSL 3.0. נוספה תמיכה בקריאה ל-SSL_sendfile() בעת שימוש ב-OpenSSL 3.0.
- הרכבה עם ספריית PCRE2 מופעלת כברירת מחדל ומספקת פונקציות לעיבוד ביטויים רגולריים.
- בעת טעינת אישורי שרת, הותאם השימוש ברמות האבטחה הנתמכות מאז OpenSSL 1.1.0 ומוגדרות באמצעות הפרמטר "@SECLEVEL=N" בהנחיית ssl_ciphers.
- הוסרה תמיכת חבילת צופן הייצוא.
- ב-API של סינון גוף הבקשה, אחסון נתונים מעובד מותר.
- הוסרה התמיכה ביצירת חיבורי HTTP/2 באמצעות תוסף Next Protocol Negotiation (NPN) במקום ALPN.
בסופו של דבר אם אתה מעוניין לדעת יותר על כך, אתה יכול לבדוק את הפרטים בקישור הבא.