Etter 13 måneders utvikling ny stallgren utgitt Høyytelses HTTP-server og multi-protokoll proxy-server nginx 1.22.0, som inkluderer endringene akkumulert i 1.21.x hovedgrenen.
I fremtiden, alle endringer i den stabile 1.22-grenen vil være relatert til feilsøking og alvorlige sårbarheter. Hovedgrenen til nginx 1.23 vil snart bli dannet, der utviklingen av nye funksjoner vil fortsette.
For vanlige brukere som ikke har som oppgave å sikre kompatibilitet med tredjepartsmoduler, anbefales det å bruke hovedgrenen, basert på hvilke versjoner av det kommersielle produktet Nginx Plus som dannes hver tredje måned.
Hovednyheter i nginx 1.22.0
I denne nye versjonen av nginx 1.22.0 som presenteres, er Forbedret beskyttelse mot angrep fra klassen HTTP Request Smugling i front-end-backend-systemer som lar deg få tilgang til innholdet i andre brukeres forespørsler behandlet i samme tråd mellom front-end og back-end. Nginx returnerer nå alltid en feil ved bruk av CONNECT-metoden; ved samtidig å spesifisere "Content-Length" og "Transfer-Encoding"-hodene; når det er mellomrom eller kontrolltegn i spørringsstrengen, HTTP-headernavnet eller "Host"-headerverdien.
En annen nyhet som skiller seg ut i denne nye versjonen er at lagt til støtte for variabler til direktiver "proxy_ssl_certificate", "proxy_ssl_certificate_key", "grpc_ssl_certificate", "grpc_ssl_certificate_key", "uwsgi_ssl_certificate" og "uwsgi_ssl_certificate_key".
I tillegg er det også bemerket at det ble lagt til støtte for "pipelining"-modus å sende flere POP3- eller IMAP-forespørsler på samme tilkobling til e-postproxy-modulen, samt et nytt "max_errors"-direktiv som spesifiserer maksimalt antall protokollfeil som tilkoblingen vil bli stengt etter.
Overskrifter "Auth-SSL-Protocol" og "Auth-SSL-Cipher" sendes til e-postproxy-autentiseringsserveren, pluss støtte for ALPN TLS-utvidelsen ble lagt til overføringsmodulen. For å bestemme listen over støttede ALPN-protokoller (h2, http/1.1), foreslås ssl_alpn-direktivet, og for å få informasjon om ALPN-protokollen avtalt med klienten, variabelen $ssl_alpn_protocol.
Av de andre endringene som skiller seg ut:
- Blokkering av HTTP/1.0-forespørsler som inkluderer "Transfer-Encoding" HTTP-header (introdusert i HTTP/1.1-protokollversjon).
- FreeBSD-plattformen har forbedret støtte for sendfile-systemanropet, som er designet for å orkestrere en direkte overføring av data mellom en filbeskrivelse og en socket. Sendfile(SF_NODISKIO)-modusen er permanent aktivert og støtte for sendfile(SF_NOCACHE)-modus er lagt til.
- Parameteren "fastopen" er lagt til sendemodulen, som muliggjør "TCP Fast Open"-modus for lyttekontakter.
- Rettet escape av tegn """, "<", ">", "\", "^", "`", "{", "|" og "}" når du bruker proxy med URI-endring.
- Direktivet proxy_half_close er lagt til strømmodulen, som atferden når en proxy TCP-tilkobling er lukket på den ene siden ("TCP half-close") kan konfigureres.
- Lagt til et nytt mp4_start_key_frame-direktiv til ngx_http_mp4_module-modulen for å streame en video fra en nøkkelramme.
- Lagt til $ssl_curve-variabel for å returnere typen elliptisk kurve valgt for nøkkelforhandling i en TLS-økt.
- Sendfile_max_chunk-direktivet endret standardverdien til 2 megabyte;
- Støtte gitt med OpenSSL 3.0-biblioteket. Lagt til støtte for å kalle SSL_sendfile() ved bruk av OpenSSL 3.0.
- Montering med PCRE2-biblioteket er aktivert som standard og gir funksjoner for å behandle regulære uttrykk.
- Ved lasting av serversertifikater er bruken av sikkerhetsnivåer støttet siden OpenSSL 1.1.0 og satt via parameteren "@SECLEVEL=N" i ssl_ciphers-direktivet justert.
- Fjernet støtte for eksportchifferpakke.
- I forespørselskroppsfiltrerings-APIet er bufring av behandlede data tillatt.
- Fjernet støtte for å etablere HTTP/2-forbindelser ved å bruke utvidelsen Next Protocol Negotiation (NPN) i stedet for ALPN.
Endelig hvis du er interessert i å vite mer om det, kan du sjekke detaljene I den følgende lenken.