据我了解,如果我使用SSL / HTTPS,gzipping会打开一个安全漏洞(BREACH / CRIME)。
如果我只在CSS和JS文件上使用它,如果这些文件是通过HTTPS在我的服务器上提供的,那么它仍然是一个安全漏洞吗?
答案 0 :(得分:3)
据我所知,答案是否定的 - 这不是安全漏洞。 CRIME / BEAST攻击注入选择的明文以揭示原始明文;在你的情况下,这将是CSS和JavaScript,它没有任何安全价值。 (据推测,您通过HTTPS为它们提供服务,以避免在浏览器上出现混合内容警告。)
攻击无法发现您的每会话对称密钥,因此假设它不使用gzip / deflate,它不会影响您的敏感内容。 当然,如果您希望100%确定,除了本文之外,您还可以考虑除gzip之外的分块编码:https://community.qualys.com/blogs/securitylabs/2013/08/07/defending-against-the-breach-attack