使用HTTP压缩来压缩HTTP响应的哪些部分?

时间:2018-11-09 14:57:51

标签: http http-compression

通过阅读Internet上的资源,我得到的印象是,仅响应的BODY已被压缩,因为您需要先读取“ Content-Encoding”标头,然后才能对任何内容进行解压缩,并且如果将其压缩,浏览器将无法解压缩它。

稍后,我正在阅读有关CRIME攻击的信息,其中指出:

  

CRIME <...>是针对秘密Web Cookie的安全漏洞

表示Web cookie也被压缩,否则不会造成伤害。但是Cookie是在标头中发送的,因此必须压缩某些标头。

我想对HTTP压缩的哪些部分进行HTTP压缩进行明确回答。谢谢。

编辑: 我的误解来自混淆CRIME和BREACH。

CRIME专注于TLS压缩,它使用主体压缩标头,因此包含cookie。

BREACH专注于HTTP级别的压缩,它不涉及Cookies:)

1 个答案:

答案 0 :(得分:1)

根据RFC

仅压缩实体主体(即有效载荷或表示形式)
  

“ Content-Encoding”标头字段指示哪些内容编码      已应用于表示,而不是      媒体类型,因此必须在其中应用什么解码机制      为了获得Content-Type引用的媒体类型中的数据      标头字段。内容编码主要用于允许      表示的数据将被压缩而不会丢失其身份      其底层媒体类型。