我有一个很大的build大小的react应用程序,它已部署在具有SSL的Nginx服务器上。我学到了一些有关GZip的知识,以及它如何改善网站的性能。但是我也知道,将GZip与SSL结合使用并不是安全的。 Nginx默认为HTML文件启用GZip。我是否还应该为Javascript和CSS等其他文件启用它,以提高性能?
答案 0 :(得分:2)
你说
将GZip与SSL结合使用并不安全
我假设您是在谈论Breach Attack。为使成功的压缩响应成功突破违规攻击,需要满足两个条件:
当您发送压缩的js / css文件作为响应时,通常不会在响应中反映用户输入。这意味着调用js / css文件url将仅返回该文件。
此外,您通常不会在响应中返回任何敏感数据以及压缩的js / css文件。
因此,对js / css资产使用Gzip压缩是完全安全的。静态响应不容易受到这种攻击。