Nginx مقابل Caddy: أي خادم ويب يجب أن تستخدمه في 2025؟

Q: كيف أختار بين Nginx و Caddy لمشروعي؟

اختر Caddy إذا أردت HTTPS تلقائيًا، وتكوينًا قصيرًا قابلًا للقراءة، ووقت نشر سريع لتطبيق صغير/متوسط. اختر Nginx إذا احتجت أقصى قدر من المرونة، أو كنت تتبع معيار Nginx موجود في منظمتك/مُضيفك، أو إذا توقّعت الاعتماد بشكل كبير على أنماط ناضجة للتوجيه/التخزين المؤقت/الضبط.

Q: أيّهما أسرع للحصول على HTTPS على نطاق جديد؟

لنطاق عام، غالبًا ما يكفي ذكر اسم الموقع وتعريف أو ، وبعد توجيه DNS إلى الخادم، يطلب Caddy الشهادات ويجددها تلقائيًا. مع Nginx، خطّط لاستخدام عميل ACME (مثل Certbot)، وتكوين / ، والتأكد من أن عمليات التجديد تُفعّل إعادة تحميل الخادم.

Q: ما هي أكثر أخطاء تكوين Nginx شيوعًا التي يقع فيها المبتدئون؟

الأخطاء الشائعة في Nginx تشمل: - ارتباك في مطابقة/أسبقية (خاصة التعابير النمطية والقواعد المتداخلة) - أماكن التكوين المختلفة بسبب وتفاوت تخطيطات التوزيعات - إعادة التحميل دون التحقق ( ) - إعادة توجيهات جزئية (إعادة توجيه فقط وليس كل المسارات) أو حلقات إعادة التوجيه خلف بروكسي/CDN آخر

Q: ما الإعدادات الأهم للرفع الكبير، البث، والطلبات طويلة العمر؟

انتبه إلى هذه الإعدادات بغض النظر عن الخادم: - حدود حجم جسم الطلب (لرفع الملفات) - مهلات القراءة/الكتابة للبروكسي (للنداءات الطويلة، SSE) - سلوك التخزين المؤقت/الـ buffering (يساعد الاستقرار لكنه قد يكسر البث إذا شُغّل خطأ) قبل الإنتاج، شغّل اختبارًا واقعيًا: ارفع ملفًا كبيرًا، أبقِ طلبًا طويلًا مفتوحًا، وتأكد من توافق مهلات الخادم والبروكسي مع توقعات تطبيقك.

تسجيل الدخول ابدأ الآن

Nginx مقابل Caddy: ما الذي تقارنه\n\nNginx و Caddy هما خادمان للويب تُشغّلهما على جهازك (آلة افتراضية، خادم مادي، أو حاوية) لنشر موقع أو تطبيق على الإنترنت.\n\nعلى مستوى عالٍ، يُستخدمان عادةً في:\n\n- المواقع الثابتة: تقديم ملفات HTML/CSS/JS بكفاءة\n- البروكسي العكسي: وضع عنوان عام وودي أمام تطبيق (Node، Python، Go، PHP‑FPM، إلخ.)\n- موازنة الحمل: توزيع الحركة على عدة مثيلات للتطبيق\n\n### لماذا يقارن الناس بينهما\n\nتُختزل معظم المقارنات إلى مفاضلة: كم بسرعة يمكنك الوصول إلى إعداد آمن يعمل مقابل كم السيطرة التي تحتاجها على كل تفصيلة.\n\nغالبًا ما يُختار Caddy عندما تريد مسارًا مباشرًا إلى إعدادات آمنة وحديثة—خاصة حول HTTPS—دون قضاء وقت طويل في التكوين.\n\nغالبًا ما يُختار Nginx عندما تريد خادمًا ناضجًا ومنشورًا على نطاق واسع مع أسلوب تكوين يمكن أن يكون مرنًا للغاية بمجرد معرفتك به.\n\n### لمن هذا الدليل\n\nهذا الدليل مخصص للأشخاص الذين يُديرون أي شيء من موقع شخصي صغير إلى تطبيقات ويب إنتاجية—المطوّرين، المؤسسين، والفرق التي تهتم بالعمليات والتي تريد قرارًا عمليًا لا نظريًا.\n\n### ما سنغطيه وما لن نغطيه\n\nسنركز على اهتمامات النشر الحقيقية: سهولة التكوين اليومية، HTTPS والشهادات، سلوك البروكسي العكسي، أساسيات الأداء، إعدادات الأمان الافتراضية، والعمليات.\n\nلن نصنع وعودًا خاصة بمورد أو مقاييس تعتمد بشكل كبير على سحابة بعينها أو CDN أو مزود استضافة. بدلاً من ذلك، ستحصل على معايير قرار يمكنك تطبيقها على إعدادك الخاص.\n\n## البدء وتجربة اليوم الأول\n\n### التثبيت والتشغيل: السلوك الافتراضي وأول موقع يعمل\n\nNginx متاح على نطاق واسع في كل مكان (مستودعات لينكس، حاويات، مضيفون مُدارون). بعد التثبيت، عادةً ما تحصل على صفحة "Welcome to nginx!" مخدومة من دليل محدد بالتوزيعة. نشر أول موقع حقيقي يتطلب عادة إنشاء ملف كتلة خادم، تمكينه، اختبار التكوين، ثم إعادة التحميل.\n\nCaddy سهل التثبيت بالمثل (حزم، ملف ثنائي واحد، Docker)، لكن تجربة التشغيل الأولى أكثر "مدمجة". ملف `Caddyfile` بسيط يمكن أن يجعلك تقدم موقعًا أو بروكسيًا عكسيًا في دقائق، والإعدادات الافتراضية موجهة نحو HTTPS آمن وحديث.\n\n### منحنى التعلم: أسلوب التكوين والمشكلات الشائعة\n\nتكوين Nginx قوي، لكن المبتدئين غالبًا ما يخطئون في:\n\n- أين توجد ملفات التكوين وكيف تعمل `include`\n- قواعد المطابقة الدقيقة (أسبقية `location`)\n- نسيان `nginx -t` قبل إعادة التحميل\n\nيقرأ `Caddyfile` الخاص بـ Caddy أشبه بنية النية ("اعكس هذا إلى ذلك"), ما يقلل أخطاء الإعداد الشائعة. المقابل هو أنه عندما تحتاج سلوكًا محددًا جدًا، قد تحتاج إلى معرفة JSON الداخلي لـ Caddy أو مفاهيم الوحدات الإضافية.\n\n### الوقت اللازم لجعل HTTPS يعمل لنطاق جديد\n\nمع Caddy، HTTPS لنطاق عام يكون غالبًا بسطر واحد: ضبط عنوان الموقع، توجيه DNS، تشغيل Caddy—تُطلب الشهادات وتجدد تلقائيًا.\n\nمع Nginx، HTTPS عادةً يتطلب اختيار طريقة الشهادة (مثل Certbot)، توصيل مسارات الملفات، وضبط التجديدات. الأمر ليس صعبًا، لكنه خطوات أكثر ومجالات أكثر للخطأ في التكوين.\n\n### تجربة التطوير المحلي (localhost، شهادات موقعة ذاتيًا، الثقة)\n\nللتطوير المحلي، Caddy يمكنه إنشاء وشهادة شهادات محلية موثوقة عبر `caddy trust`، مما يجعل `https://localhost` أقرب إلى الإنتاج.\n\nمع Nginx، HTTPS المحلي عادةً ما يكون يدويًا (إنشاء شهادة موقعة ذاتيًا، تكوينها، ثم قبول تحذيرات المتصفح أو تثبيت CA محلي). الكثير من الفرق تتخطى HTTPS محليًا، ما قد يخفي مشاكل في الكوكيز، وإعادة التوجيه، والمحتوى المختلط حتى مرحلة لاحقة.\n\n## أسلوب التكوين وقابلية القراءة\n\nالتكوين هو المكان الذي يبدو فيه Nginx و Caddy مختلفين تمامًا. Nginx يُفضّل البنية الصريحة والمتداخلة ومفردات ضخمة من التوجيهات. Caddy يفضل لغة أصغر قابلة للقراءة ومبنية على نية ما تريد—سهلة المسح، خصوصًا عند إدارة عدد قليل من المواقع.\n\n### Nginx: كتل الخادم، المواقع، وملفات include\n\nتُبنى إعدادات Nginx حول السياقات. معظم تطبيقات الويب تنتهي بواحد أو أكثر من كتل `server {}` (مضيفات افتراضية)، وداخلها، عدة كتل `location {}` تطابق المسارات.\n\nهذه البنية قوية، لكن القابلية للقراءة قد تتدهور عندما تتكدس القواعد (مواقع نمطية، عدة عبارات `if`، قوائم رؤوس طويلة). أداة القابلية للصيانة الرئيسية هي include: قسّم التكوينات الكبيرة إلى ملفات أصغر واحفظ تخطيطًا متسقًا.\n\nعدة مواقع على خادم واحد عادةً ما تعني عدة كتل `server {}` (غالبًا ملف لكل موقع)، بالإضافة إلى مقتطفات مشتركة:\n\n```nginx

/etc/nginx/conf.d/example.conf

server { listen 80; server_name example.com www.example.com;

include /etc/nginx/snippets/security-headers.conf;

location / { proxy_pass http://app_upstream; include /etc/nginx/snippets/proxy.conf; } } caddy example.com { reverse_proxy localhost:3000 encode zstd gzip header { Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" } } ```\n\n عادةً ما تكون مجرد كتل مواقع متعددة في نفس الملف (أو ملفات مستوردة)، وهو أمر سهل المسح أثناء المراجعات.\n\n### الحفاظ على قابلية الصيانة مع نمو المشاريع\n\n- في Nginx، قرّر ملفات لكل موقع + مقتطفات مشتركة. في Caddy، قرّر إن كان كل موقع يحصل على ملف منفصل ويتم استيراده عبر .\n- "إعدادات البروكسي الافتراضية"، "رؤوس الأمان"، "تخزين ثابت"—تجنّب نسخ الكتل بين المواقع.\n- يمكن لـ Nginx أن يعبّر عن أي شيء تقريبًا، لكن أذكى غالبًا ما يكون الأصعب في تصحيحه لاحقًا. يشجع Caddy على أنماط أبسط؛ إذا ما تجاوزتها، وثّق نيتك في التعليقات.\n\nإذا كانت الأولوية لديك الوضوح بأقل مراسم، فإن Caddyfile الخاص بـ Caddy صعب منافسته. إذا كنت تحتاج تحكمًا دقيقًا ولا تمانع أسلوبًا أكثر هيكلية وتفصيلاً، يظل Nginx ملائمًا قويًا.\n\n## HTTPS وإدارة الشهادات\n\nHTTPS هو المكان الذي تختلف فيه تجربة اليوم-باليوم بين Nginx و Caddy أكثر من غيره. كلاهما يمكنه تقديم TLS ممتاز؛ الاختلاف هو مقدار العمل الذي تقوم به—وكم مكانًا يمكن أن تدخل فيه انحراف التكوين.\n\n### Caddy: HTTPS تلقائي افتراضيًا\n\nالميزة البارزة في Caddy هي HTTPS التلقائي. إذا تمكن Caddy من تحديد اسم المضيف وكان قابلًا للوصول علنًا، فغالبًا ما سيقوم بـ:\n\n- الحصول على شهادة (عادةً عبر ACME/Let’s Encrypt)

الأسئلة الشائعة

كيف أختار بين Nginx و Caddy لمشروعي؟

اختر Caddy إذا أردت HTTPS تلقائيًا، وتكوينًا قصيرًا قابلًا للقراءة، ووقت نشر سريع لتطبيق صغير/متوسط.

اختر Nginx إذا احتجت أقصى قدر من المرونة، أو كنت تتبع معيار Nginx موجود في منظمتك/مُضيفك، أو إذا توقّعت الاعتماد بشكل كبير على أنماط ناضجة للتوجيه/التخزين المؤقت/الضبط.

أيّهما أسرع للحصول على HTTPS على نطاق جديد؟

لنطاق عام، غالبًا ما يكفي ذكر اسم الموقع وتعريف reverse_proxy أو file_server، وبعد توجيه DNS إلى الخادم، يطلب Caddy الشهادات ويجددها تلقائيًا.

مع Nginx، خطّط لاستخدام عميل ACME (مثل Certbot)، وتكوين ssl_certificate/ssl_certificate_key، والتأكد من أن عمليات التجديد تُفعّل إعادة تحميل الخادم.

ما هي أكثر أخطاء تكوين Nginx شيوعًا التي يقع فيها المبتدئون؟

الأخطاء الشائعة في Nginx تشمل:

ارتباك في مطابقة/أسبقية location (خاصة التعابير النمطية والقواعد المتداخلة)
أماكن التكوين المختلفة بسبب include وتفاوت تخطيطات التوزيعات
إعادة التحميل دون التحقق (nginx -t)

متى يصبح "التكوين البسيط" في Caddy مقيدًا؟

يبقى ملف Caddyfile بسيطًا إلى أن تحتاج سلوكًا محددًا للغاية. عندها قد تحتاج إلى:

استخدام matchers وتفاصيل توجيهية لمضاهاة منطق location المعقّد في Nginx
تحويل التكوين إلى JSON الخاص بـ Caddy للتحكم المتقدّم
استخدام وحدات/ملحقات لميزات غير قياسية

إذا كان إعدادك غير عادي، قم بعمل نموذج مبكّر حتى لا تكتشف القيود أثناء الهجرة.

أيّهما أفضل للتطوير المحلي مع HTTPS؟

لدى Caddy دعم قوي لسيناريوهات HTTPS محليًا. يمكنك إنشاء وتثبيت شهادات محلية موثوقة (مثالًا caddy trust)، مما يساعدك على اكتشاف مشاكل HTTPS مبكرًا (الكوكيز، إعادة التوجيه، المحتوى المختلط).

مع Nginx، عادةً ما يكون HTTPS المحلي يدويًا (شهادات موقعة ذاتيًّا + تحذيرات المتصفح أو تثبيت CA محلي)، لذلك كثيرًا ما يتجنّبه الفرق ويكتشفون المشاكل لاحقًا.

ما الذي يجب التحقق منه عند عمل بروكسي عكسي لتطبيق (الرؤوس، عنوان العميل الحقيقي، WebSockets)؟

كلاهما يمكن أن يعمل كبروكسي عكسي جيدًا، لكن تحقق من النقاط التالية في أي منهما:

رؤوس المعاينة: Host، X-Forwarded-Proto، X-Forwarded-For
سلوك عنوان العميل الحقيقي (خصوصًا خلف CDN/موازن تحميل)
دعم WebSocket (في Nginx غالبًا تحتاج معالجة صريحة لـ /؛ في Caddy عادةً تُعالج تلقائيًا)

كيف يقارن Nginx و Caddy في موازنة التحميل والفحوصات الصحية؟

كلاهما يمكنه موازنة التحميل، لكن من الناحية التشغيلية ركّز على:

الفحوصات الصحية: مدى سرعة استبعاد الحالات غير الصحية
المهلات (timeouts): تجنّب انتظار المستخدمين للخوادم الميتة
استراتيجية إعادة المحاولة/الاختيار: اجعل سلوك الفشل متوقعًا

إذا كنت بحاجة إلى أنماط دقيقة أو معروفة جيدًا، فغالبًا ما تتوفر لـ Nginx وصفات معروفة؛ لإعدادات تعدد الخوادم البسيطة، Caddy سريع الإعداد.

ما الإعدادات الأهم للرفع الكبير، البث، والطلبات طويلة العمر؟

انتبه إلى هذه الإعدادات بغض النظر عن الخادم:

حدود حجم جسم الطلب (لرفع الملفات)
مهلات القراءة/الكتابة للبروكسي (للنداءات الطويلة، SSE)
سلوك التخزين المؤقت/الـ buffering (يساعد الاستقرار لكنه قد يكسر البث إذا شُغّل خطأ)

قبل الإنتاج، شغّل اختبارًا واقعيًا: ارفع ملفًا كبيرًا، أبقِ طلبًا طويلًا مفتوحًا، وتأكد من توافق مهلات الخادم والبروكسي مع توقعات تطبيقك.

أيّهما أكثر أمانًا افتراضيًا، وماذا لا يزال يجب تكوينه؟

كلاهما يمكن أن يكون آمنًا، لكن الافتراضات الافتراضية تختلف.

أساسيات عملية:

تأكد من سلوك HTTPS فقط وإعادة التوجيه الصحيحة
أضف رؤوس أمان (HSTS بعد استقرار HTTPS؛ الحماية من clickjacking وMIME-sniffing)
قفل المسارات الإدارية/الداخلية بمصادقة أساسية و/أو قوائم سماح IP
ابقِ الخادم والوحدات محدثة

لـقائمة تدقيق أعمق، راجع /blog/nginx-vs-caddy-security.

ما هي أنسب طريقة لإعادة تحميل التغييرات والتعامل مع هذه الخوادم بأمان في الإنتاج؟

استخدم سير عمل “التحقق → إعادة التحميل” واعتبر التكوين ككود.

Nginx: nginx -t ثم systemctl reload nginx (أو nginx -s reload)
Caddy: استخدم آليات إعادة التحميل/التحقق الخاصة به (خصوصًا إذا كنت تُولّد JSON للتكوين)، واحتفظ بسجلات مُنظّمة للحِزم

في كلتا الحالتين، احتفظ بالتهيئات في Git، نفّذ النشر عبر CI/CD مع خطوة تحقق تجريبية، واحتفظ بخطة تراجع سريعة.

Nginx مقابل Caddy: أي خادم ويب يجب أن تستخدمه في 2025؟ | Koder.ai

\n\nقاعدة عملية: اعتبر `nginx.conf` كـ "التوصيل الجذري"، واحفظ تفاصيل التطبيقات/المواقع في `/etc/nginx/conf.d/` (أو `sites-available`/`sites-enabled` حسب التوزيعة).\n\n### Caddy: توجيهات Caddyfile وقابلية القراءة\n\nيقرأ Caddyfile الخاص بـ Caddy أشبه بقائمة من ما تريد حدوثه. تعلن عن **كتلة موقع** (عادةً النطاق)، ثم تضيف توجيهات مثل `reverse_proxy`، `file_server`، أو `encode`.\n\nللعديد من الفرق، المكسب الرئيسي هو بقاء مسار "المسار السعيد" قصيرًا ومقروءًا—حتى عند إضافة ميزات شائعة:\n\n

import

location

إعادة تحميل Nginx بعد التجديدات (وتأكد من حدوث التجديدات فعليًا) \nهذا مرن للغاية، لكنه أسهل أن تنسى خطوة—خاصة حول الأتمتة وإعادة التحميل.\n\n### إعادة التوجيه والأخطاء الشائعة\n\nالمطب الكلاسيكي هو سوء التعامل مع إعادة التوجيه:\n\n- إعادة توجيه الصفحة الرئيسية فقط، وليس كل المسارات\n- خلق حلقات إعادة توجيه (مثلاً خلف CDN أو موازن تحميل)\n- إنهاء TLS في الخلفية لكن إعادة التوجيه بناءً على المخطط الخاطئ\n\nيقلّل Caddy من هذه الأخطاء بإعدادات افتراضية معقولة. مع Nginx، يجب أن تكون صريحًا وتتحقق من السلوك من الطرف إلى الطرف.\n\n### الشهادات الخاصة وبنية PKI داخلية\n\nبالنسبة للشهادات المخصصة (تجارية، wildcard، CA داخلية)، يعمل الخادمان جيدًا. \n- Nginx بسيط: تزود ملفات الشهادة/المفتاح وتضبط TLS.\n- Caddy يدعم الشهادات المخصصة أيضًا، ويمكن استخدامه في سيناريوهات PKI داخلية، لكن ينبغي أن تكون دقيقًا بشأن توزيع الثقة إلى العملاء والخدمات.\n\n## ميزات البروكسي العكسي المهمة في التطبيقات الحقيقية\n\nمعظم الفرق لا تختار خادم ويب من أجل "Hello World". تختاره لمهام البروكسي اليومية: جعل تفاصيل العميل صحيحة، دعم اتصالات طويلة الأمد، والحفاظ على استقرار التطبيقات تحت حركة غير مثالية.\n\n### أساسيات البروكسي العكسي (الرؤوس، IP الحقيقي، WebSockets)\n\nكلا Nginx و Caddy يمكنهما الجلوس أمام تطبيقك وتمرير الطلبات بوضوح، لكن التفاصيل تهم.\n\nإعداد بروكسي عكسي جيد عادةً ما يضمن:\n\n- توجيه رؤوس صحيحة مثل Host، X-Forwarded-Proto، وX-Forwarded-For، حتى يتمكن تطبيقك من بناء إعادة توجيهات وسجلات صحيحة.\n- معالجة عنوان العميل الحقيقي، وهو ما يؤثر على تحديد المعدّل، التدقيق، قواعد الموقع الجغرافي، وإعدادات "بروكسي موثوق" داخل إطار عملك.\n- دعم WebSockets للتشات ولوحات المعلومات والميزات اللحظية. في Nginx، هذا غالبًا يعني معالجة Upgrade/Connection بشكل صريح؛ في Caddy عادةً ما يُعالج تلقائيًا عند البروكسي.\n\n### موازنة الحمل والفحوصات الصحية\n\nإذا كان لديك أكثر من مثيل واحد للتطبيق، فيمكن لكلا الخادمين توزيع الحركة عبر الـ upstreams. لدى Nginx أنماط قديمة للتوزيع بالوزن وتحكم أدق، بينما موازنة الحمل في Caddy مباشرة ومناسبة للإعدادات الشائعة.\n\nالفحوصات الصحية هي الفارق التشغيلي الحقيقي: تريد استبعاد الحالات غير الصحية بسرعة، وتريد ضبط المهلات بحيث لا ينتظر المستخدمون على خلفيات ميتة.\n\n### المهلات، التخزين المؤقت والتحميلات الكبيرة\n\nالتطبيقات الحقيقية تصل إلى حواف الحالة: عملاء بطيئون، نداءات API طويلة، أحداث موجهة من الخادم، ورفع ملفات كبيرة.\n\nانتبه إلى:\n\n- مهلات القراءة/الكتابة بين البروكسي والخلفية\n- تخزين مؤقت للطلب/الاستجابة (جيد للاستقرار، سيئ للبث إذا شُغل خطأ)\n- حدود حجم الجسم وسلوك التخزين المؤقت المؤقت للملفات الكبيرة\n\n### تحديد المعدّل والحماية الأساسية\n\nلا أحد منهما عبارة عن WAF كامل افتراضيًا، لكن كلاهما يساعد بضوابط عملية: حدود طلبات لكل IP، حدود الاتصالات، وفحوصات أساسية على الرؤوس. إذا كنت تقارن موقف الأمان، فقارن ذلك مع قائمة التحقق الأوسع في /blog/nginx-vs-caddy-security.\n\n## الأداء ودعم البروتوكولات\n\nالأداء ليس مجرد "طلبات في الثانية". إنه أيضًا مدى سرعة رؤية المستخدمين لشيء مفيد، مدى كفاءة تقديم الأصول الثابتة، ومدى حداثة حزمة البروتوكولات لديك افتراضيًا.\n\n### الملفات الثابتة: رؤوس التخزين المؤقت والضغط\n\nللاستضافة الثابتة (CSS، JS، الصور)، يمكن أن يكون Nginx و Caddy سريعين جدًا عند التكوين الجيد.\n\nNginx يمنحك تحكمًا دقيقًا في رؤوس التخزين المؤقت (مثل التخزين الطويل للأصول المعرّفة بالهاش وتخزين أقصر لـ HTML). يمكن لـ Caddy فعل نفس الشيء، لكن قد تحتاج إلى الاعتماد على مقتطفات أو matchers للتعبير عن نفس النية.\n\nالضغط هو مفاضلة:\n\n- Gzip مدعوم على نطاق واسع وعادةً ما يكون افتراضيًا آمنًا.\n- Brotli يقلل أحجام النصوص أكثر، مما يساعد على الشبكات البطيئة، لكنه يكلف المزيد من CPU.\n\nللمواقع الصغيرة، تفعيل Brotli نادرًا ما يضر ويمكن أن يجعل الصفحات أسرع. للمواقع الكبيرة ذات الحركة الكثيفة، قِس رأسية CPU وفكّر في العناصر المضغوطة مسبقًا أو تفريغ الضغط على الـ CDN/الحدّ الخارجي.\n\n### HTTP/2 و HTTP/3: ما يلاحظه المستخدمون\n\nHTTP/2 هو الأساس لمعظم المتصفحات الحديثة ويُحسّن تحميل عدد كبير من الأصول الصغيرة عبر اتصال واحد. كلا الخادمين يدعمانه.\n\nHTTP/3 (عبر QUIC) يمكن أن يُحسّن الأداء على الشبكات المحمولة المتقلبة عن طريق تقليل مشكلة فقدان الحزم ومهلات المصافحة. يميل Caddy إلى جعل تجربة تجربة HTTP/3 أسهل، بينما يعتمد دعم Nginx على البناء وقد يتطلب حزمًا محددة.\n\n### SPA ومسارات fallback\n\nإذا كنت تقدم تطبيق صفحة واحدة، فعادةً ما تحتاج "حاول الملف، وإلا قدّم /index.html". كلاهما قادر على ذلك بشكل نظيف، لكن تحقّق من أن مسارات الـ API لا تعود إلى SPA وتخفي 404 حقيقية.\n\n## إعدادات الأمان الافتراضية وقائمة تشديد الحماية\n\nيمكن تأمين كل من Nginx و Caddy جيدًا، لكنهما يبدأان من افتراضات مختلفة.\n\nCaddy "آمن افتراضيًا" للعديد من النشر الشائعة: يفعّل TLS حديثًا تلقائيًا، يجدد الشهادات، ويشجع إعداد HTTPS فقط. Nginx مرن ومنشور على نطاق واسع، لكنك عادةً ما تحتاج إلى اتخاذ خيارات صريحة لـ TLS والرؤوس والتحكم بالوصول.\n\n### الإعدادات الشائعة (وماذا يجب أن تضبطه بنفسك)\n\n- عطّل النقاط/الميزات غير المستخدمة: لا تُرسل مواقع عينات أو واجهات إدارة أو مسارات تصحيح إلى الإنتاج.\n- حدّ من التعرض: اربط الخدمات الداخلية بالواجهات الخاصة، وانشر فقط ما يجب أن يكون عامًا.\n- ابقِ التبعيات محدثة: حدّث الخادم وأي وحدات بشكل دوري.\n\n### نسخ TLS واختيارات الشيفرات (اجعلها بسيطة)\n\n- فضّل TLS 1.2 و TLS 1.3؛ تجنّب الإصدارات القديمة.\n- استخدم الإعدادات الحديثة للخادم ما لم يكن لديك متطلبات امتثال صارمة.\n- بالنسبة لـ Nginx، عيّن البروتوكولات المسموح بها صراحة وابقَ على اتساق التكوين عبر المضيفين.\n\n### المصادقة الأساسية، السماح/الرفض حسب IP، وحماية نقاط الإدارة\n\nحمِ الأدوات الداخلية (مقاييس، لوحات الإدارة، المعاينات) بمصادقة و/أو قوائم سماح IP.\n\nمثال (Caddy):\n\n

caddyfile admin.example.com { basicauth {   admin $2a$10$.............................................. } reverse_proxy 127.0.0.1:9000 }

\n\nفي Nginx، طبّق auth_basic أو allow/deny على كتل location الدقيقة التي تعرض المسارات الحساسة.\n\n### رؤوس الأمان: HSTS، أساسيات CSP، والإعدادات الآمنة\n\nابدأ برؤوس تقلل المخاطر الشائعة:\n\n- HSTS (فقط بعد استقرار HTTPS): Strict-Transport-Security: max-age=31536000; includeSubDomains\n- حماية من النقر الاحتيالي: X-Frame-Options: DENY (أو SAMEORIGIN إذا لزم)\n- منع sniffing نوع المحتوى: X-Content-Type-Options: nosniff\n- CSP (أساسيات): ابدأ بسياسة محافظة ووسّعها عند الحاجة (أخطاء CSP يمكن أن تكسر المواقع)\n\nالتشديد ليس عن وجود "تكوين مثالي" واحد بل عن تطبيق هذه الضوابط باستمرار عبر كل تطبيق ونقطة نهاية.\n\n## النظام البيئي، الوحدات الإضافية، وإمكانية التوسعة\n\nتجربتك طويلة الأمد مع خادم ويب غالبًا ما تُحدّدها المنظومة المحيطة به: الوحدات، الأمثلة الآمنة للنسخ، ومدى صعوبة التوسعة عندما تتغير المتطلبات.\n\n### Nginx: وحدات ناضجة وقاعدة معرفية ضخمة\n\nيمتلك Nginx منظومة عميقة بُنيت على مر سنوات. هناك الكثير من الوحدات الرسمية والخارجية، بالإضافة إلى كمية هائلة من أمثلة التكوين من المجتمع (مقالات مدونة، gists على GitHub، وثائق البائعين). هذه ميزة حقيقية عندما تحتاج إلى قدرة محددة—التخزين المؤقت المتقدّم، موازنة دقيقة، أو أنماط تكامل لتطبيقات شائعة—لأن شخصًا ما حلها غالبًا من قبل.\n\nالمقابل: ليس كل مثال تجده حديث أو آمن. دائمًا افحص مقابل الوثائق الرسمية وإرشادات TLS الحديثة.\n\n### Caddy: الامتدادات قوية—استخدمها بحكمة\n\nيغطي جوهر Caddy الكثير (خاصة HTTPS والبروكسي العكسي)، لكنك ستلجأ إلى الامتدادات عندما تحتاج طرق مصادقة غير قياسية، اكتشاف upstream غير العادي، أو معالجة طلب مخصصة.\n\nكيفية تقييم امتداد:\n\n- إشارات الصيانة: إصدارات حديثة، قضايا/PRs نشطة، ملكية واضحة\n- موقف الأمان: أذونات قليلة، نموذج تهديد موثق، إعدادات افتراضية منطقية\n- ملاءمة تشغيلية: عملية بناء/إصدار يمكنك إعادة إنتاجها في CI\n\n### إدارة المخاطر التشغيلية وتجنّب القفل التقني\n\nالاعتماد على ملحقات غير شائعة يزيد مخاطر الترقية: كسر التوافق API أو إهمال الصيانة قد يجعلك محجوزًا على إصدار قديم. للبقاء مرنًا، فضّل الميزات المتاحة في الجوهر، اجعل التكوين قابلًا للنقل (وثّق النية، ليس فقط الصياغة)، وعزل "النكهة الخاصة" خلف واجهات محددة جيدًا (مثلاً اجعل المصادقة خدمة مخصصة). عند الشك، جرّب كلا الخادمين مع تطبيقك الحقيقي قبل الالتزام.

Upgrade

Connection