我们正在为我们的项目使用Python Django。当我以谷歌网页速度测试网站时,我看到了Enable compression
,Leverage browser caching
和Reduce server response time
的警告。对于这篇文章,我想问一下Enable compression
问题。我自己没有使用GZIP压缩的经验,我的后卫也没有这方面的经验。有一点是,由于Django网站上的警告,他建议不要这样做:
警告
安全研究人员最近透露,压缩时 技术(包括GZipMiddleware)用于网站,即网站 变得暴露于许多可能的攻击。这些方法可以 用于妥协,除其他外,Django的CSRF保护。 在您的网站上使用GZipMiddleware之前,您应该考虑一下 小心你是否受到这些攻击。如果你在任何地方 怀疑你是否受到影响,你应该避免使用 GZipMiddleware。有关详细信息,请参阅BREACH文件(PDF)和 breachattack.com。
如何启用压缩并仍然安全?我需要做什么?