sortie d'un serveur http léger . La nouvelle version comporte 149 modifications, notamment l'inclusion de la normalisation des URL par défaut, une refonte de mod_webdav et un travail d'optimisation des performances.
Depuis lighttpd 1.4.54 Comportement du serveur lié à la normalisation des URL lors du traitement des requêtes HTTP. Les options de vérification stricte des valeurs dans l'en-tête Host sont activées, la normalisation des liens envoyés dans les en-têtes et le blocage des liens avec des caractères de contrôle non échappés sont également activés. Le processus de normalisation comprend la conversion automatique de '\' en '/', '%2F' en '/', '%20' en '+', la résolution et la suppression de parties des chemins de fichiers avec les répertoires '.'. et '..', décodant les caractères d'échappement '-', '.', '_' et '~'.
Si vous le souhaitez, le comportement de traitement des URL peut être modifié dans les paramètres à l'aide des options « header-strict », « host-strict », « host-normalize », « url-normalize », « url-normalize-unreserved », « url -normaliser-requis" ",
"url-ctrls-reject", "url-path-2f-decode", "url-path-dotseg-remove" et "url-query-20-plus", qui sont désormais définis sur "enable".
D'autres changements incluent une refonte complète du module mod_webdav, qui a permis d'atteindre une compatibilité totale avec les spécifications, d'améliorer les performances et la fiabilité. Parmi les changements de compatibilité apportés à mod_webdav figure le blocage des requêtes PUT incomplètes. Mod_auth ajoute la prise en charge de l'algorithme SHA-256 pour le hachage des paramètres d'authentification (HTTP Auth Digest).
Un nouveau module, mod_maxminddb, a été proposé pour remplacer mod_geoip (mod_geoip est désormais obsolète).
Source: opennet.ru