Po 13 mėnesių vystymosi Buvo paskelbtas naujas stabilus filialas Didelio našumo HTTP serveris ir kelių protokolų tarpinis serveris nginx 1.22.0, į kurią įtraukiami pagrindinėje 1.21.x šakoje sukaupti pakeitimai.
Ateityje, visi 1.22 stabilios šakos pakeitimai bus susiję su klaidų taisymais ir rimtų pažeidžiamumų. Netrukus bus suformuota pagrindinė nginx 1.23 šaka, kurioje bus tęsiamas naujų funkcijų kūrimas.
Paprastiems vartotojams, kurie neturi užduoties užtikrinti suderinamumo su trečiųjų šalių moduliais, rekomenduojama naudoti pagrindinę šaką, pagal kurią kas tris mėnesius formuojamos komercinio produkto „Nginx Plus“ versijos.
Pagrindinės nginx 1.22.0 naujienos
Šioje naujoje nginx 1.22.0 versijoje, Patobulinta apsauga nuo „HTTP Request Smuggling“ klasės atakų „front-end-backend“ sistemose, leidžiančiose pasiekti kitų vartotojų užklausų turinį, apdorotą toje pačioje gijoje tarp priekinės ir galinės dalies. Nginx dabar visada grąžina klaidą, kai naudoja CONNECT metodą; vienu metu nurodant antraštes „Content-Length“ ir „Transfer-Encoding“; kai užklausos eilutėje yra tarpų arba valdymo simbolių, HTTP antraštės pavadinimas arba „Host“ antraštės reikšmė.
Dar viena naujovė, kuri išsiskiria šioje naujoje versijoje, yra ta pridėjo kintamųjų palaikymą prie direktyvų „proxy_ssl_certificate“, „proxy_ssl_certificate_key“, „grpc_ssl_certificate“, „grpc_ssl_certificate_key“, „uwsgi_ssl_certificate“ ir „uwsgi_ssl_certificate_key“.
Be to, taip pat pabrėžiama, kad jis buvo pridėtas palaiko „konvejerių“ režimą siųsti kelias POP3 arba IMAP užklausas tuo pačiu ryšiu į pašto tarpinio serverio modulį, taip pat naują "max_errors" direktyvą, kuri nurodo maksimalų protokolo klaidų skaičių, po kurio ryšys bus uždarytas.
Antraštės „Auth-SSL-Protocol“ ir „Auth-SSL-Cipher“ perduodami pašto tarpinio serverio autentifikavimo serveriui, Be to, į perdavimo modulį buvo įtrauktas ALPN TLS plėtinio palaikymas. Norint nustatyti palaikomų ALPN protokolų sąrašą (h2, http/1.1), siūloma ssl_alpn direktyva ir gauti informacijos apie ALPN protokolą, dėl kurio susitarta su klientu, $ssl_alpn_protocol kintamąjį.
Iš kitų pokyčių kad išsiskiria:
- Blokuoti HTTP/1.0 užklausas, kuriose yra HTTP antraštė „Transfer-Encoding“ (įtraukta HTTP/1.1 protokolo versijoje).
- FreeBSD platforma pagerino sendfile sistemos iškvietimo palaikymą, kuris yra skirtas organizuoti tiesioginį duomenų perdavimą tarp failo deskriptoriaus ir lizdo. siuntimo failo (SF_NODISKIO) režimas įjungtas visam laikui ir pridėtas siuntimo failo (SF_NOCACHE) režimo palaikymas.
- „Fastopen“ parametras buvo pridėtas prie perdavimo modulio, įgalinantis „TCP Fast Open“ režimą klausymosi lizdams.
- Ištaisytas pabėgimas iš simbolių «»», «<«, «>», «\», «^», «`», «{«, «|» ir „}“, kai naudojate URI keitimo tarpinį serverį.
- Į srauto modulį įtraukta direktyva proxy_half_close, su kuria galite konfigūruoti elgesį, kai TCP tarpinio serverio ryšys yra uždarytas vienoje pusėje („TCP pusiau uždarytas“).
- Prie modulio ngx_http_mp4_module pridėta nauja mp4_start_key_frame direktyva, kad būtų galima transliuoti vaizdo įrašų srautą, prasidedantį rakto kadru.
- Pridėtas $ssl_curve kintamasis, kad būtų grąžintas elipsės kreivės tipas, pasirinktas derantis dėl rakto TLS sesijoje.
- Sendfile_max_chunk direktyva pakeitė numatytąją reikšmę į 2 megabaitus;
- Palaikymas teikiamas OpenSSL 3.0 bibliotekai. Pridėtas SSL_sendfile() iškvietimo palaikymas naudojant OpenSSL 3.0.
- Surinkimas su PCRE2 biblioteka yra įjungtas pagal numatytuosius nustatymus ir suteikia reguliariųjų išraiškų apdorojimo funkcijas.
- Įkeliant serverio sertifikatus, buvo pakoreguotas saugos lygių, palaikomų nuo OpenSSL 1.1.0 ir nustatytų per „@SECLEVEL=N“ parametrą ssl_ciphers direktyvoje, naudojimas.
- Pašalintas eksporto šifrų rinkinio palaikymas.
- Užklausos turinio filtravimo API leidžiama apdorotų duomenų buferizacija.
- Pašalintas HTTP/2 ryšių kūrimo palaikymas naudojant kito protokolo derybų (NPN) plėtinį, o ne ALPN.
Pagaliau jei norite sužinoti daugiau apie tai, galite patikrinti išsamią informaciją Šioje nuorodoje.