Efter 13 månaders utveckling ny stallgren släppt Högpresterande HTTP-server och proxyserver med flera protokoll nginx 1.22.0, som inkluderar ändringarna som ackumulerats i 1.21.x huvudgrenen.
I framtiden, alla ändringar i stabil 1.22-gren kommer att vara relaterade till buggfixar och allvarliga sårbarheter. Huvudgrenen av nginx 1.23 kommer att bildas snart, där utvecklingen av nya funktioner kommer att fortsätta.
För vanliga användare som inte har till uppgift att säkerställa kompatibilitet med tredjepartsmoduler, rekommenderas det att använda huvudgrenen, på grundval av vilken utgåvor av den kommersiella produkten Nginx Plus bildas var tredje månad.
Huvudnyheter i nginx 1.22.0
I denna nya version av nginx 1.22.0 som presenteras är Förbättrat skydd mot attacker av klassen HTTP Request Smuggling i front-end-backend-system som låter dig komma åt innehållet i andra användares förfrågningar som behandlas i samma tråd mellan front-end och back-end. Nginx returnerar nu alltid ett fel när man använder CONNECT-metoden; genom att samtidigt ange rubrikerna "Content-Length" och "Transfer-Encoding"; när det finns mellanslag eller kontrolltecken i frågesträngen, HTTP-rubriknamn eller "Host"-huvudvärde.
En annan nyhet som sticker ut i denna nya version är att lagt till stöd för variabler till direktiv "proxy_ssl_certificate", "proxy_ssl_certificate_key", "grpc_ssl_certificate", "grpc_ssl_certificate_key", "uwsgi_ssl_certificate" och "uwsgi_ssl_certificate_key".
Dessutom noteras också att det tillkommit stöd för "pipelining"-läge att skicka flera POP3- eller IMAP-förfrågningar på samma anslutning till e-postproxymodulen, samt ett nytt "max_errors"-direktiv som anger det maximala antalet protokollfel efter vilka anslutningen kommer att stängas.
Rubriker "Auth-SSL-Protocol" och "Auth-SSL-Cipher" skickas till autentiseringsservern för e-postproxyn, Dessutom lades stöd för tillägget ALPN TLS till överföringsmodulen. För att fastställa listan över stödda ALPN-protokoll (h2, http/1.1), föreslås ssl_alpn-direktivet och för att få information om ALPN-protokollet som överenskommits med klienten, variabeln $ssl_alpn_protocol.
Av de andra förändringarna som sticker ut:
- Blockering av HTTP/1.0-förfrågningar som inkluderar HTTP-huvudet "Transfer-Encoding" (infört i HTTP/1.1-protokollversionen).
- FreeBSD-plattformen har förbättrat stöd för anropet sendfile-system, som är designat för att organisera en direkt överföring av data mellan en filbeskrivning och en socket. Läget sendfile(SF_NODISKIO) är permanent aktiverat och stöd för läget sendfile(SF_NOCACHE) har lagts till.
- Parametern "fastopen" har lagts till i broadcast-modulen, vilket möjliggör "TCP Fast Open"-läge för lyssningsuttag.
- Fixade escapende tecken """, "<", ">", "\", "^", "`", "{", "|" och "}" när proxyn används med URI-ändring.
- Lade till direktivet proxy_half_close till streammodulen, med vilket du kan konfigurera beteendet när en TCP-proxyanslutning är stängd på ena sidan ("TCP half-close").
- Lade till ett nytt mp4_start_key_frame-direktiv till modulen ngx_http_mp4_module för att sända en videoström från en nyckelbildruta.
- Lade till variabeln $ssl_curve för att returnera typen av elliptisk kurva som valts för nyckelförhandling i en TLS-session.
- Sendfile_max_chunk-direktivet ändrade standardvärdet till 2 megabyte;
- Support tillhandahålls med OpenSSL 3.0-biblioteket. Lade till stöd för att anropa SSL_sendfile() vid användning av OpenSSL 3.0.
- Sammansättning med PCRE2-biblioteket är aktiverat som standard och tillhandahåller funktioner för bearbetning av reguljära uttryck.
- Vid uppladdning av servercertifikat har användningen av säkerhetsnivåer som stöds sedan OpenSSL 1.1.0 och ställts in via parametern "@SECLEVEL=N" i ssl_ciphers-direktivet justerats.
- Ta bort stöd för exportchiffersvit.
- Buffring av den bearbetade datan är tillåten i förfrågningskroppsfiltrerings-API.
- Tog bort stöd för att upprätta HTTP/2-anslutningar med tillägget Next Protocol Negotiation (NPN) istället för ALPN.
Slutligen om du är intresserad av att veta mer om detkan du kontrollera detaljerna I följande länk.