我在APACHE上为HTTP压缩添加了一条规则。规则肯定没问题但是Fiddler显示响应没有被压缩。(我测试curl为localhost,响应是gzip压缩的)
我怀疑防火墙会将请求标头的Accept-Encoding修改为不同的内容。即使Fiddler显示请求标头包含Accept-Encoding。
我的意思是如果Fiddler说你的Accept-Encoding是这样的......但实际上并非如此。
我只是想在联系防火墙供应商之前确认。
而且......这只是为了我的好奇心,Accept-Encoding对安全有什么影响?
答案 0 :(得分:1)
某些防火墙和安全软件会破坏或删除出站ACCEPT-ENCODING标头,以防止服务器使用HTTP压缩来压缩响应。防火墙/安全软件有时不希望在扫描之前解压缩响应(因为他们不知道如何解压缩,或者因为解压缩需要CPU时间)。
Fiddler会在他们离开您的计算机之前向您显示HTTP标头,因此在他们被防火墙或上游网关破坏之前会显示它们。
您可以轻松查看HTTP请求中的出站标头;请参阅https://bayden.com/echo2.aspx和https://bayden.com/echo2.aspx以查看从客户端发送的标头。请注意,即使HTTP请求标头被破坏,HTTPS请求标头也可能完好无损,因为中介通常不会干扰HTTPS流量。