Wissen

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Sie befinden sich hier: Start » webserver
Zuletzt angesehen: ublock_origin macos sshfs vi_vim coturn mysql_8.0 freebsd_-_virtualisierung_emu_s verschluesselung_mit_cryptsetup dotnet webserver
webserver

Dies ist eine alte Version des Dokuments!

Inhaltsverzeichnis

Webserver

  • Apache - für vielen Verbindungen ungeeignet aber bei wenigen Verbindungen der schnellste
  • Lighttpd - ist bei vielen Verbindungen der schnellste
  • NGINX - verursacht bei vielen Verbindungen die geringste Last
  • Deno ist der Nachfolger von NodeJS

beispielhafter Leistungsvergleich

Leistungswerte aus dem Test mit eine Referenz-VM (2x CPU-Kerne/6GB RAM):

  • Apache2:
    1. Load: ~30
    2. Transfers bei 300 gleichzeitigen Verbindungen: ~300 Aufrufe je Sekunde
  • Lighttpd:
    1. Load: ~0,7
    2. Transfers bei 300 gleichzeitigen Verbindungen: ~400 Aufrufe je Sekunde
  • NginX:
    1. Load: >0,5
    2. Transfers bei 300 gleichzeitigen Verbindungen: ~250-400 Aufrufe je Sekunde (stark schwankend)
    • Der Home-Page nach zu urteilen, ist die kommerzielle Version NGINX Plus für diese Aufgabe besser geeignet.

Sicherheit

HTTP Strict Transport Security (HSTS)

Content Security Policy (CSP)

Standard-Direktive:

  • script-src diese Direktive schränkt die erlaubten Quell-URLs ein
    • Content-Security-Policy: script-src 'self' https://apis.google.com - hier wird mit "'self'" der eigene Server und dann der "apis.google.com" erlaubt, sonst nichts
  • base-uri restricts the URLs that can appear in a page’s <base> element.
  • child-src lists the URLs for workers and embedded frame contents. For example: child-src https://youtube.com would enable embedding videos from YouTube but not from other origins. Use this in place of the deprecated frame-src directive.
  • connect-src limits the origins to which you can connect (via XHR, WebSockets, and EventSource).
  • font-src specifies the origins that can serve web fonts. Google’s Web Fonts could be enabled via font-src https://themes.googleusercontent.com
  • form-action lists valid endpoints for submission from <form> tags.
  • frame-ancestors specifies the sources that can embed the current page. This directive applies to <frame>, <iframe>, <embed>, and <applet> tags. This directive cant be used in <meta> tags and applies only to non-HTML resources.
  • frame-src deprecated. Use child-src instead.
  • img-src defines the origins from which images can be loaded.
  • media-src restricts the origins allowed to deliver video and audio.
  • object-src allows control over Flash and other plugins.
  • plugin-types limits the kinds of plugins a page may invoke.
  • report-uri specifies a URL where a browser will send reports when a content security policy is violated. This directive cant be used in <meta> tags.
  • style-src is script-src’s counterpart for stylesheets.
  • upgrade-insecure-requests Instructs user agents to rewrite URL schemes, changing HTTP to HTTPS. This directive is for web sites with large numbers of old URLs that need to be rewritten.

gefährliche Direktiven:

  • base-uri
  • form-action
  • frame-ancestors
  • plugin-types
  • report-uri
  • sandbox

Diese "gefährlichen" Direktiven haben keine default-src als fallback, das bedeutet, wenn man hier einen Fehler macht, dann ist das gleichbedeutend damit, dass man alles erlaubt!

/home/http/wiki/data/attic/webserver.1645368716.txt · Zuletzt geändert: von manfred