ひっそりと、HTTPのRFCが改定されたようです。
改定されたのは15年ぶりということですが、
変更は、曖昧さの排除や、無駄な空白文字や改行の排除など、
セキュリティを強化する方向への変更だそうです。
HTTP/2.0になったわけでも、大きな変更があるわけではないですが、
この業界の人は最低限チェックしておきましょう。
主な変更点下記のような内容
- 圧縮方式からidenty 方式がなくなった
- HTTP/HTTPSのURIに、ユーザ名やパスワードなどの情報を付加することが禁止になった
- 圧縮形式の定義は、IETFへの登録と認可が必要になった
- HTTP/0.9のサポートが必要ではなくなった
- HTTPメッセージのバッファリングを許容
- 無効な空白文字が含まれるメッセージをリジェクトすることが求められるようになった
- 空白文字の使用箇所は明示的に提示された
- NUL文字をコメントなどに含めることは許容されなくなった
- エスケープ文字としてのバックスラッシュの使い方を明確にした
- ヘッダフィールド内の非US-ASCIIコンテンツは廃止(テキストルールから削除)
- 空のリストは禁止された
- ヘッダーに改行を含む記述をすることは排除された
- エラー処理の説明を追加
- コンテンツ長ヘッダが偽造されていた場合、エラーとして処理することが求められるようになった
- チャンクでの転送時のチャンク長はヘッダーとトレーラーを含まないこととした。
- HTTPのHeaderのVersion フィールドにのせるバージョン名"HTTP/1.1"が大文字限定になり番号の桁数も1桁限定になった
- メッセージ長を決定するアルゴリズムでの例外を排除し、より明確になった
- deflateの定義明確になった
- Upgadeヘッダーの構文が明確になった
- OPTIONメソッドによる共有の制限
- "Effective Request URI"が新たに定義された。
- ゲートウェイが、VIA ヘッダを付加する必要がなくなった
- CLOSEを送信すべきタイミングを明確にした。
- サーバーあたり2接続数の制限がなくなりました。
- KEEP-ALIVE の問題を記述し、クライアントが、REQにProxy-Connectionヘッダーを含めないように推奨している。
- RFC2818で定義されていたHTTPSのURIスキームがRFC7230で定義されるようになった
- RFC2817の7.2に記載されていた "Hypertext Transfer Protocol (HTTP) Upgrade Token Registry"が 8.6に収容された
簡単に調べた範囲での情報なので、下記サイトも参考に再確認しましょう。
世界は急には変わりませんが、意外に気になるものもあるので、チェックチェック。
世界は急には変わりませんが、意外に気になるものもあるので、チェックチェック。
山本 陽平
技術評論社
売り上げランキング: 31,535
技術評論社
売り上げランキング: 31,535
0 コメント:
コメントを投稿