Pēc 13 mēnešu attīstības atbrīvota jauna stabila filiāle Augstas veiktspējas HTTP serveris un vairāku protokolu starpniekserveris nginx 1.22.0, kas ietver 1.21.x galvenajā atzarā uzkrātās izmaiņas.
Nākotnē visas izmaiņas 1.22 stabilajā zarā būs saistītas ar atkļūdošanu un nopietnas ievainojamības. Drīzumā tiks izveidota nginx 1.23 galvenā filiāle, kurā turpināsies jaunu funkciju izstrāde.
Parastajiem lietotājiem, kuriem nav uzdevums nodrošināt saderību ar trešo pušu moduļiem, ieteicams izmantot galveno filiāli, uz kuras pamata ik pēc trim mēnešiem tiek veidotas komerciālā produkta Nginx Plus versijas.
Galvenās ziņas nginx 1.22.0
Šajā jaunajā nginx 1.22.0 versijā, kas tiek prezentēta, Uzlabota aizsardzība pret HTTP pieprasījumu kontrabandas klases uzbrukumiem priekšgala aizmugursistēmas, kas ļauj piekļūt citu lietotāju pieprasījumu saturam, kas apstrādāti tajā pašā pavedienā starp priekšgalu un aizmugursistēmu. Tagad Nginx vienmēr atgriež kļūdu, izmantojot CONNECT metodi; vienlaikus norādot galvenes "Content-Length" un "Transfer-Encoding"; ja vaicājuma virknē, HTTP galvenes nosaukumā vai “Host” galvenes vērtībā ir atstarpes vai vadības rakstzīmes.
Vēl viens jaunums, kas izceļas šajā jaunajā versijā, ir tas pievienoja atbalstu mainīgajiem direktīvām "proxy_ssl_certificate", "proxy_ssl_certificate_key", "grpc_ssl_certificate", "grpc_ssl_certificate_key", "uwsgi_ssl_certificate" un "uwsgi_ssl_certificate_key".
Turklāt tiek arī atzīmēts, ka tas tika pievienots atbalsts "konveijera" režīmam nosūtīt vairākus POP3 vai IMAP pieprasījumus vienā savienojumā uz pasta starpniekservera moduli, kā arī jaunu "max_errors" direktīvu, kas nosaka maksimālo protokola kļūdu skaitu, pēc kura savienojums tiks aizvērts.
Galvenes "Auth-SSL-Protocol" un "Auth-SSL-Cipher" tiek nodoti pasta starpniekservera autentifikācijas serverim, plus atbalsts ALPN TLS paplašinājumam tika pievienots pārraides modulim. Lai noteiktu atbalstīto ALPN protokolu sarakstu (h2, http/1.1), tiek piedāvāta ssl_alpn direktīva, un, lai iegūtu informāciju par ALPN protokolu, par kuru ir panākta vienošanās ar klientu, mainīgais $ssl_alpn_protocol.
No pārējām izmaiņām kas izceļas:
- Bloķēt HTTP/1.0 pieprasījumus, kas ietver HTTP galveni "Transfer-Encoding" (ieviests HTTP/1.1 protokola versijā).
- FreeBSD platforma ir uzlabojusi atbalstu sendfile sistēmas izsaukumam, kas paredzēts, lai organizētu tiešu datu pārsūtīšanu starp faila deskriptoru un ligzdu. Sūtīšanas faila (SF_NODISKIO) režīms ir pastāvīgi iespējots, un ir pievienots režīma sendfile (SF_NOCACHE) atbalsts.
- Pārraides modulim ir pievienots parametrs "fastopen", kas klausīšanās ligzdām iespējo "TCP Fast Open" režīmu.
- Novērsta rakstzīmju """, "<", ">", "\", "^", "`", "{", "|" atsoļošana un "}", izmantojot starpniekserveri ar URI maiņu.
- Straumes modulim ir pievienota direktīva proxy_half_close, ar kuru var konfigurēt uzvedību, kad starpniekservera TCP savienojums ir aizvērts vienā pusē ("TCP half-close").
- Modulim ngx_http_mp4_module ir pievienota jauna mp4_start_key_frame direktīva, lai straumētu video no atslēgas kadra.
- Pievienots mainīgais $ssl_curve, lai atgrieztu eliptiskās līknes veidu, kas atlasīts atslēgas sarunai TLS sesijā.
- Direktīva sendfile_max_chunk mainīja noklusējuma vērtību uz 2 megabaitiem;
- Atbalsts tiek nodrošināts ar OpenSSL 3.0 bibliotēku. Pievienots atbalsts SSL_sendfile() izsaukšanai, izmantojot OpenSSL 3.0.
- Montāža ar PCRE2 bibliotēku ir iespējota pēc noklusējuma un nodrošina regulāro izteiksmju apstrādes funkcijas.
- Ielādējot servera sertifikātus, ir koriģēta kopš OpenSSL 1.1.0 atbalstīto drošības līmeņu izmantošana, kas iestatīta, izmantojot parametru "@SECLEVEL=N" direktīvā ssl_ciphers.
- Noņemts eksporta šifra komplekta atbalsts.
- Pieprasījuma pamatteksta filtrēšanas API ir atļauta apstrādāto datu buferizācija.
- Noņemts atbalsts HTTP/2 savienojumu izveidei, izmantojot paplašinājumu Next Protocol Negotiation (NPN), nevis ALPN.
Beidzot ja jūs interesē uzzināt vairāk par to, varat pārbaudīt informāciju Šajā saitē.