Google现在将HTTP视为不安全(请检查here),在Chrome中,如果我们访问HTTP网站,则会看到警告消息。现在我们有免费的SSL,letsencrypt。所以我假设,我们肯定会在几乎所有服务器上都使用HTTPS。
然后我发现,使用带有SSL的gzip存在一些安全问题,称为违反攻击。我真的很想知道,在使用SSL时我们如何实现gzip的目的?
特别是在Angular上,它的尺寸非常大;现在,我有与@angular相关的主文件,与CSS / SCSS相关的样式文件/与Webpack捆绑的任何内容,与外部javascript文件相关的脚本文件。对于我的应用案例,它如下所示(Angular 2.3.1,AoT,生产版本);
对于main和styles文件,没有gzip似乎没关系。但对于脚本文件的情况,没有gzip它真的很大。 1.8兆字节......移动设备肯定会很重。
但我的应用程序使用WebRTC,这需要HTTPS。所以它对我来说很困难。有什么好的解决方案吗?
答案 0 :(得分:1)
BREACH攻击只是包含攻击者喜欢猜测的内容(如CSRF令牌)以及攻击者控制的数据反映在内容中的内容的问题。静态Javascript文件和其他静态文件没有此属性,因此可以安全地压缩它们。另请参阅Is gzipping content via TLS allowed?或Current State of BREACH (GZIP SSL Attack)?