Nginx HTTP/2 支持

最新推荐文章于 2025-03-12 14:38:40 发布
最新推荐文章于 2025-03-12 14:38:40 发布
阅读量1.2k 收藏 10
点赞数 15
文章标签: nginx http 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Flying_Fish_roe/article/details/144523198
版权

Nginx HTTP/2 支持配置详解

HTTP/2 是 HTTP 协议的第二个主要版本,它旨在提高 Web 性能,尤其是在高延迟和高带宽的网络环境下。与 HTTP/1.1 相比,HTTP/2 提供了多项优化和新特性,如多路复用、头部压缩和优先级控制等,使得 Web 应用可以更加高效地处理请求和响应。

Nginx 作为一款高性能的 Web 服务器和反向代理服务器,在 HTTP/2 支持方面也提供了优异的支持。自 Nginx 1.9.5 版本起,Nginx 开始正式支持 HTTP/2 协议,提供了更快的页面加载速度和更低的延迟。

一、HTTP/2 协议概述

HTTP/2 协议是由 IETF(Internet Engineering Task Force)制定的 HTTP 协议的新版本,它是基于 SPDY 协议(Google 提出的一个实验性协议)开发的,旨在提升 Web 的性能,主要改进了以下几个方面:

1. 多路复用(Multiplexing)

在 HTTP/1.1 中,客户端和服务器之间的通信是按请求-响应的顺序进行的,每个请求需要单独的连接。而在 HTTP/2 中,通过多路复用,多个请求和响应可以共享同一个连接,避免了请求队头阻塞(Head-of-Line Blocking)的问题。这意味着多个请求可以同时进行,而不会相互阻塞,显著提高了性能。

2. 请求和响应头压缩(Header Compression)

HTTP/2 使用了 HPACK 算法对请求和响应头进行压缩,减少了因头部重复而浪费的带宽。HTTP/1.x 协议每次都需要发送完整的头部信息,而 HTTP/2 在多次请求中仅发送差异化的头部数据。

3. 服务器推送(Server Push)

服务器推送是 HTTP/2 的一项新特性,允许服务器主动将资源推送到客户端的缓存中,而不需要客户端显式请求。这对于网页的资源预加载非常有效,可以在客户端还没有请求某些资源时,服务器就提前将其发送给客户端,从而减少页面加载时间。

4. 优先级和流量控制(Prioritization and Flow Control)

HTTP/2 允许客户端为请求分配优先级,服务器根据优先级处理资源。此外,HTTP/2 还支持流量控制,以避免某个流占用过多资源,影响其他流的传输。

5. 单一连接(Single Connection)

HTTP/2 通过建立一个单一的连接来传输所有请求和响应,避免了 HTTP/1.x 中多次建立连接的开销。这不仅减少了连接的数目,还减小了延迟。

二、Nginx 中的 HTTP/2 支持

Nginx 从 1.9.5 版本开始支持 HTTP/2,支持该协议的配置相对简单。与其他协议(如 HTTP/1.x)相比,HTTP/2 在 Nginx 中的配置主要集中在启用 SSL(HTTPS)和适当配置 HTTP/2 相关选项上。

1. 启用 HTTP/2 协议

在 Nginx 中,HTTP/2 必须通过 SSL 连接启用。因此,为了启用 HTTP/2,首先需要为网站配置 SSL/TLS,然后在 server 块中使用 http2 指令来启用该协议。以下是一个基本的配置示例:

server {
    listen 443 ssl http2;
    server_name example.com;
    
    ssl_certificate /etc/nginx/ssl/example.com.crt;
    ssl_certificate_key /etc/nginx/ssl/example.com.key;

    # 启用 HTTP/2
    listen 443 ssl http2;
    
    # 其他 SSL 配置
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256';

    location / {
        root /var/www/html;
        index index.html;
    }
}

在这个配置中,listen 443 ssl http2; 指令启用了 HTTPS 和 HTTP/2 协议。

  • listen 443 ssl http2;:表示服务器监听 443 端口,并启用 SSL 和 HTTP/2。需要注意的是,HTTP/2 只有在启用 SSL(即 HTTPS)时才会生效。
2. 推荐的 SSL 配置

为了确保 HTTP/2 能够正常工作并提高安全性,以下是一些推荐的 SSL 配置:

ssl_certificate /etc/nginx/ssl/example.com.crt;
ssl_certificate_key /etc/nginx/ssl/example.com.key;

ssl_protocols TLSv1.2 TLSv1.3;  # 使用现代的加密协议
ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256';  # 使用强加密算法

ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
  • ssl_protocols:指定支持的 TLS 协议版本,推荐使用 TLS 1.2 和 TLS 1.3,以保证安全性。
  • ssl_ciphers:设置支持的加密套件,确保使用现代的加密方法。
  • ssl_session_cachessl_session_timeout:优化 SSL 会话缓存,以提高性能。
3. 多域名支持

如果你需要为多个域名启用 HTTP/2,Nginx 允许在同一个配置文件中为不同的域名配置 SSL 和 HTTP/2:

server {
    listen 443 ssl http2;
    server_name example.com;

    ssl_certificate /etc/nginx/ssl/example.com.crt;
    ssl_certificate_key /etc/nginx/ssl/example.com.key;

    location / {
        root /var/www/example.com;
    }
}

server {
    listen 443 ssl http2;
    server_name another.com;

    ssl_certificate /etc/nginx/ssl/another.com.crt;
    ssl_certificate_key /etc/nginx/ssl/another.com.key;

    location / {
        root /var/www/another.com;
    }
}

通过为不同的 server_name 配置 SSL 和 HTTP/2,可以实现多个域名共享 HTTP/2 协议。

4. HTTP/2 性能优化

为了最大化利用 HTTP/2 带来的性能优势,以下是一些常见的优化建议:

  • 启用并行流(Multiplexing):确保后端资源可以并行加载,避免 HTTP/1.x 中的请求队头阻塞。通过合理组织 HTML 和 JavaScript 代码,优化资源加载顺序,可以提高页面加载速度。
  • 使用服务器推送(Server Push):HTTP/2 允许服务器将某些资源推送到客户端缓存中,从而减少客户端的请求次数,减少延迟。
location / {
    http2_push /styles.css;
    http2_push /scripts.js;
}
  • 启用压缩:HTTP/2 支持使用有效的头部压缩技术。结合 Nginx 的 gzip 压缩功能,可以显著减少带宽使用,提升加载速度。
gzip on;
gzip_types text/plain text/css application/javascript application/json;
  • 减少 HTTP 请求数量:虽然 HTTP/2 可以同时处理多个请求,但减少请求的数量仍然有助于提升性能。合并 CSS、JavaScript 文件,使用图片精灵等技术,能有效减少请求数目。
5. 调优 HTTP/2 性能

Nginx 提供了一些参数来调优 HTTP/2 的性能。例如:

  • http2_max_concurrent_streams:设置每个连接的最大并发流数。通过增加此值,可以允许每个连接并行处理更多的请求,但也要平衡带宽和系统资源的使用。
server {
    listen 443 ssl http2;
    http2_max_concurrent_streams 128;
}
  • http2_max_field_sizehttp2_max_header_size:配置 HTTP/2 请求头和响应头的最大大小,避免头部过大导致性能瓶颈。
server {
    listen 443 ssl http2;
    http2_max_field_size 16k;
    http2_max_header_size 32k;
}

这些调优选项可以帮助优化 HTTP/2 在 Nginx 中的性能,确保 Web 应用能够充分利用 HTTP/2 的优势。

三、HTTP/2 在生产环境中的应用

1. 兼容性问题

虽然 HTTP/2 提供了多项性能优势,但在生产环境中,可能会遇到与老旧客户端或不支持 HTTP/2 的浏览器的兼容性问题。Nginx 会在客户端不支持 HTTP/2 时自动回退到 HTTP/1.1,因此,部署 HTTP/2 时无需担心客户端不兼容。

2. 流量分析与监控

部署 HTTP/2 后,您可能需要监控 Web 服务器的性能,特别是流量和连接的变化。通过集成 Nginx 的日志模块,可以分析 HTTP/2 流量的表现,如并发请求数、请求延迟等。

log_format main '$http_x_forwarded_for - $remote_user [$time_local] "$request" '
                  '$status $body_bytes_sent "$http_referer" '
                  '"$http_user_agent" "$http_x_forwarded_proto"';
3. 升级与迁移策略

对于使用 HTTP/1.x 的站点,迁移到 HTTP/2 不仅需要配置 Nginx,还需要进行前端和后端的优化。对于大型站点,逐步过渡到 HTTP/2 是一个更为稳妥的策略。首先,您可以在低流量环境中启用 HTTP/2,进行性能测试和验证,然后在保证兼容性的前提下逐步推广。

四、总结

HTTP/2 协议在提高 Web 性能方面具有显著的优势,尤其是在减少延迟、提高加载速度、减少带宽占用等方面。Nginx 从 1.9.5 版本开始支持 HTTP/2,并提供了灵活的配置选项来启用和优化该协议。

通过在 Nginx 中启用 HTTP/2,配置适当的 SSL/TLS、头部压缩、服务器推送等功能,可以显著提升 Web 应用的响应速度,改善用户体验。同时,通过一些性能调优选项,Nginx 还可以帮助进一步优化 HTTP/2 的表现,确保高效的资源加载和处理。

Apache Druid Console 远程命令执行漏洞
墨痕诉清风的博客
02-22 1238
Apache Druid 是用Java编写的面向列的开源分布式数据存储,旨在快速获取大量事件数据,并在数据之上提供低延迟查询。Apache Druid 默认情况下缺乏授权认证,攻击者可以发送特制请求,利用Druid服务器上进程的特权执行任意代码。Apache Druid包括执行用户提供的JavaScript的功能嵌入在各种类型请求中的代码。此功能在用于高信任度环境中,默认已被禁用。
漏洞复现 || Apache Druid代码执行
失心少年
07-10 428
技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!在Apache Druid使用Apache Kafka加载数据的场景下,未经身份认证的远程攻击者可配置Kafka连接属性,从而利用CVE-2023-25194漏洞触发JNDI注入,最终执行任意代码。
Apache Druid 远程命令执行
m0_46689007的博客
11-29 468
Apache Druid 远程命令执行(附流量分析)
Apache druid 远程命令执行 (CVE-2021-25646)
YouthBelief的博客
11-04 421
druid 远程命令执行 (CVE-2021-25646)druid 远程命令执行 (CVE-2021-25646)0x01 漏洞描述0x02 影响范围0x03 漏洞复现0x04 漏洞修复 druid 远程命令执行 (CVE-2021-25646) Apache Druid 是用Java编写的面向列的开源分布式数据存储,旨在快速获取大量事件数据,并在数据之上提供低延迟查询。 0x01 漏洞描述 Apache Druid包括执行用户提供的JavaScript的功能嵌入在各种类型请求中的代码。此功能在用于高信任
Apache Druid 远程代码执行复现(CVE-2021-25646)
最新发布
Bird&Bird
03-12 325
Apache Druid 是用Java编写的面向列的开源分布式数据存储,旨在快速获取大量事件数据,并在数据之上提供低延迟查询。Apache Druid 默认情况下缺乏授权认证,攻击者可以发送特制请求,利用Druid服务器上进程的特权执行任意代码。Apache Druid包括执行用户提供的JavaScript的功能嵌入在各种类型请求中的代码。此功能在用于高信任度环境中,默认已被禁用。
druid 远程命令执行(CVE-2021-25646)
qq_53086690的博客
11-23 1720
druid 远程命令执行 druid 介绍 Druid是一个专为大型数据集上的高性能切片和OLAP分析而设计的数据存储。Druid最常用作为GUI分析应用程序提供动力的数据存储,或者用作需要快速聚合的高度并发API的后端 影响版本 Apache Druid < 0.20.1 漏洞简介 Apache Druid包括执行用户提供的JavaScript的功能嵌入在各种类型请求中的代码。此功能在用于高信任度环境中,默认已被禁用。但是,在Druid 0.20.0及更低版本中,经过身份验证的用户发送恶意请求,
druid 远程命令执行 (CVE-2021-25646)
小小猪的博客
12-28 1108
druid 远程命令执行 (CVE-2021-25646) 漏洞介绍: Apache Druid 是用Java编写的面向列的开源分布式数据存储,旨在快速获取大量事件数据,并在数据之上提供低延迟查询。 Apache Druid包括执行用户提供的JavaScript的功能嵌入在各种类型请求中的代码。此功能在用于高信任度环境中,默认已被禁用。但是,在Druid 0.20.0及更低版本中,经过身份验证的用户发送恶意请求,利用Apache Druid漏洞可以执行任意代码 影响版本: Apache Druid
Apache Druid 代码执行漏洞
weixin_53639243的博客
02-21 476
Apache Druid 能够执行嵌入在各种类型请求中的用户提供的 JavaScript 代码。但是,在 Druid 0.20.0 及更早版本中,经过身份验证的用户可以发送特制的请求,强制 Druid 为该请求运行用户提供的 JavaScript 代码,而不管服务器配置如何。这可以用来以 Druid 服务器进程的权限在目标计算机上执行代码。Apache Druid 是一种开源的分布式数据存储,旨在摄取大量数据,以提供低延迟和高并发的即时数据可见性、临时分析和查询。使用docker 搭建环境。
Apache Druid 远程代码执行
03-12
### 关于 Apache Druid 远程代码执行漏洞 #### 漏洞概述 Apache Druid 是一个集时间序列数据库、数据仓库和全文检索系统特点于一体的分析性数据平台。该平台允许执行用户提供的 JavaScript 代码,这些代码可以嵌入...
[Vulfocus解题系列] druid 远程命令执行 (CVE-2021-25646)
00勇士王子的博客
07-16 1498
漏洞介绍 名称: druid 远程命令执行 (CVE-2021-25646) 描述: Apache Druid 是用Java编写的面向列的开源分布式数据存储,旨在快速获取大量事件数据,并在数据之上提供低延迟查询。 Apache Druid包括执行用户提供的JavaScript的功能嵌入在各种类型请求中的代码。此功能在用于高信任度环境中,默认已被禁用。但是,在Druid 0.20.0及更低版本中,经过身份验证的用户发送恶意请求,利用Apache Druid漏洞可以执行任意代码。 影响版本 Apache Dru
Apache Druid远程代码执行漏洞(CVE-2021-25646)
weixin_44047654的博客
12-05 2124
Apache Druid远程代码执行漏洞(CVE-2021-25646)
【漏洞复现】Apache Druid 远程代码执行 CVE-2021-25646
Adminxe的博客
02-03 536
0x00 前言 这个漏洞的根本问题是一个druid中全局性的问题,开发者在使用Jackson相关的标签时,出现疏漏,使得攻击者可以构造传入的json串来控制一些敏感的参数。 阿里云安全@Litch1向Apache官方报告了Apache Druid远程代码执行漏洞 当时 漏洞 已知,处于某些原因,提取的poc也没进行公布,今天醒来,看到很多公众号发 ,也就总结一下,集各家所长,写一个复现的文章。 Apache Druid 是用Java编写的面向列的开源分布式数据存储,旨在快速获取大量事件数据...
Apache Druid 远程代码执行漏洞
per_se_veran_ce的博客
02-09 935
环境搭建 #拉取镜像 docker pull fokkodriesprong/docker-druid #启动镜像 docker run --rm -i -p 8888:8888 fokkodriesprong/docker-druid 访问8888端口 环境搭建成功。 漏洞复现 抓包,替换数据包POC POST /druid/indexer/v1/sampler?for=filter HTTP/1.1 Host: 192.168.5.138:8888 User-Agent: Mozilla
Apache Druid远程命令执行漏洞复现(CVE-2021-25646)
MD@@nr丫卡uer
02-05 591
漏洞概述 Apache Druid 是一个分布式的数据处理系统。Apache Druid包括执行用户提供的JavaScript的功能嵌入在各种类型请求中的代码。在Druid 0.20.0及更低版本中,用户发送恶意请求,利用Apache Druid漏洞可以执行任意代码。攻击者可直接构造恶意请求执行任意代码,控制服务器。 影响版本 Apache Druid < 0.20.1 漏洞复现 访问8888端口,进入Apache Druid首页: 点击左上方Load data,在点击Local disk,再点击右
Apache Druid命令执行漏洞复现
weixin_53696027的博客
06-02 683
CVE-2019-25646是由由阿里云安全发现的 Apache Druid 远程代码执行漏洞
Druid-imply常用服务的命令
Alongpo的博客
01-31 1626
我的imply的安装的路径是在 /usr/local/bigdata/imply-2.8.6 一.日志的路径 rm -rf /usr/local/bigdata/imply-2.8.6/var more /usr/local/bigdata/imply-2.8.6/var/sv/coordinator/current more /usr/local/bigdata/imply-2.8.6/var/...
Apache Durid(入门 安装 数据摄取 查询 集成SpringBoot)
m0_46690280的博客
08-21 2237
Apache DuridApache Durid1. Durid概述1.1 为什么使用1.1.1 云原生数据库1.1.2 轻松集成1.1.3 超高性能1.1.4 工作流1.1.5 多种部署方式1.2 使用场景1.2.1 常见的使用场景1.2.1.1 用户活动和行为1.2.1.2 网络流1.2.1.3 数字营销1.2.1.4 应用性能管理1.2.1.5 物联网和设备指标1.2.1.6 OLAP和商业智能1.2.2 适合的场景1.2.3 不适合的场景2. Durid是什么2.1 主要特性2.3 和其他技术对比
SpringBoot实战教程(6)| 整合Druid
猿小白的博客
12-10 2728
Apache Druid是一个实时分析型数据库,旨在对大型数据集进行快速的查询分析("OLAP"查询)。Druid最常被当做数据库来用以支持实时摄取、高性能查询和高稳定运行的应用场景,同时,Druid也通常被用来助力分析型应用的图形化界面,或者当做需要快速聚合的高并发后端API,Druid最适合应用于面向事件类型的数据。 目录 一、主要特征 二、使用场景 三、初始化SpringBoot项目 四、引入依赖文件 五、编写配置文件 六、编写DruidConfig配置类 七、查看Druid..
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Flying_Fish_Xuan

你的鼓励将是我创作最大的动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值