通过阅读Internet上的资源,我得到的印象是,仅响应的BODY已被压缩,因为您需要先读取“ Content-Encoding”标头,然后才能对任何内容进行解压缩,并且如果将其压缩,浏览器将无法解压缩它。
稍后,我正在阅读有关CRIME攻击的信息,其中指出:
CRIME <...>是针对秘密Web Cookie的安全漏洞
表示Web cookie也被压缩,否则不会造成伤害。但是Cookie是在标头中发送的,因此必须压缩某些标头。
我想对HTTP压缩的哪些部分进行HTTP压缩进行明确回答。谢谢。
编辑: 我的误解来自混淆CRIME和BREACH。
CRIME专注于TLS压缩,它使用主体压缩标头,因此包含cookie。
BREACH专注于HTTP级别的压缩,它不涉及Cookies:)
答案 0 :(得分:1)
根据RFC
仅压缩实体主体(即有效载荷或表示形式)“ Content-Encoding”标头字段指示哪些内容编码 已应用于表示,而不是 媒体类型,因此必须在其中应用什么解码机制 为了获得Content-Type引用的媒体类型中的数据 标头字段。内容编码主要用于允许 表示的数据将被压缩而不会丢失其身份 其底层媒体类型。