我试图在ASP.Net WebForms应用程序中对静态和非静态内容禁用gzip编码。这是针对BREACH漏洞的建议修复方法。
我注意到ASP.Net/ScriptManager生成的文件如ScriptResource.axd默认是GZIP编码。
即使在IIS中禁用压缩,也会应用此编码。
我此时的选择是编写一个HttpModule来删除Accepts-Encoding标头,但这似乎不是正确的事情。
答案 0 :(得分:2)
我发现这是通过此Web.Config设置配置的 -
<system.web.extensions>
<scripting>
<scriptResourceHandler enableCompression="false" enableCaching="true" />
</scripting>
</system.web.extensions>