Na 13 maanden van ontwikkeling nieuwe stabiele tak vrijgegeven Krachtige HTTP-server en proxyserver met meerdere protocollen nginx 1.22.0, waarin de wijzigingen zijn verwerkt die zijn verzameld in de hoofdtak 1.21.x.
In de toekomst alle wijzigingen in de 1.22 stabiele tak zullen gerelateerd zijn aan debuggen en ernstige kwetsbaarheden. De hoofdtak van nginx 1.23 zal binnenkort worden gevormd, waarin de ontwikkeling van nieuwe functies zal worden voortgezet.
Voor gewone gebruikers die niet de taak hebben om compatibiliteit met modules van derden te garanderen, wordt aanbevolen om de hoofdtak te gebruiken, op basis van welke versies van het commerciële product Nginx Plus elke drie maanden worden gevormd.
Belangrijkste nieuws in nginx 1.22.0
In deze nieuwe versie van nginx 1.22.0 die wordt gepresenteerd, Verbeterde bescherming tegen HTTP Request Smuggle-klasse-aanvallen in front-end-backend-systemen waarmee u toegang hebt tot de inhoud van verzoeken van andere gebruikers die in dezelfde thread tussen de front-end en de back-end worden verwerkt. Nginx retourneert nu altijd een fout bij gebruik van de CONNECT-methode; door gelijktijdig de headers "Content-Length" en "Transfer-Encoding" op te geven; wanneer er spaties of controletekens in de queryreeks, HTTP-headernaam of "Host"-headerwaarde zijn.
Een andere nieuwigheid die opvalt in deze nieuwe versie is dat: ondersteuning toegevoegd voor variabelen aan richtlijnen "proxy_ssl_certificate", "proxy_ssl_certificate_key", "grpc_ssl_certificate", "grpc_ssl_certificate_key", "uwsgi_ssl_certificate" en "uwsgi_ssl_certificate_key".
Daarnaast wordt ook opgemerkt dat het is toegevoegd ondersteuning voor "pipelining"-modus om meerdere POP3- of IMAP-verzoeken op dezelfde verbinding naar de mailproxymodule te sturen, evenals een nieuwe "max_errors" -richtlijn die het maximale aantal protocolfouten specificeert waarna de verbinding wordt verbroken.
Headers "Auth-SSL-Protocol" en "Auth-SSL-Cipher" worden doorgegeven aan de mailproxy-authenticatieserver, plus ondersteuning voor de ALPN TLS-extensie is toegevoegd aan de transmissiemodule. Om de lijst van ondersteunde ALPN-protocollen (h2, http/1.1) te bepalen, wordt de ssl_alpn-richtlijn voorgesteld, en om informatie te verkrijgen over het met de klant overeengekomen ALPN-protocol, de variabele $ssl_alpn_protocol.
Van de andere veranderingen die opvallen:
- HTTP/1.0-verzoeken blokkeren die de HTTP-header "Transfer-Encoding" bevatten (geïntroduceerd in de HTTP/1.1-protocolversie).
- Het FreeBSD-platform heeft verbeterde ondersteuning voor de systeemaanroep sendfile, die is ontworpen om een directe overdracht van gegevens tussen een bestandsdescriptor en een socket te orkestreren. De modus sendfile (SF_NODISKIO) is permanent ingeschakeld en ondersteuning voor de modus sendfile (SF_NOCACHE) is toegevoegd.
- De parameter "fastopen" is toegevoegd aan de zendmodule, die de modus "TCP Fast Open" voor luisterbussen mogelijk maakt.
- Vaste ontsnapping van tekens """, "<", ">", "\", "^", "`", "{", "|" en "}" bij gebruik van proxy met URI-wijziging.
- Aan de stream-module is de instructie proxy_half_close toegevoegd, waarmee het gedrag wanneer een proxy-TCP-verbinding aan één kant wordt gesloten ("TCP half-close") kan worden geconfigureerd.
- Een nieuwe mp4_start_key_frame-richtlijn toegevoegd aan de ngx_http_mp4_module-module om een video vanaf een keyframe te streamen.
- $ssl_curve variabele toegevoegd om het type elliptische curve te retourneren dat is geselecteerd voor sleutelonderhandeling in een TLS-sessie.
- De instructie sendfile_max_chunk veranderde de standaardwaarde in 2 megabytes;
- Ondersteuning geboden bij de OpenSSL 3.0-bibliotheek. Ondersteuning toegevoegd voor het aanroepen van SSL_sendfile() bij gebruik van OpenSSL 3.0.
- Assembleren met de PCRE2-bibliotheek is standaard ingeschakeld en biedt functies voor het verwerken van reguliere expressies.
- Bij het laden van servercertificaten is het gebruik van beveiligingsniveaus die sinds OpenSSL 1.1.0 worden ondersteund en ingesteld via de parameter "@SECLEVEL=N" in de ssl_ciphers-richtlijn, aangepast.
- Ondersteuning voor exportcoderingssuite verwijderd.
- In de API voor het filteren van de aanvraagtekst is het bufferen van verwerkte gegevens toegestaan.
- Ondersteuning verwijderd voor het tot stand brengen van HTTP/2-verbindingen met behulp van de Next Protocol Negotiation (NPN)-extensie in plaats van ALPN.
Eindelijk als u er meer over wilt weten, kunt u de details bekijken In de volgende link.