我到处寻找缓解方法 this vulnerability ,我发现类似:
Just disable http compression.
嗯,这很痛苦,因为压缩可以节省大量带宽,而且还可以让您的网页加载速度更快。此外,我读到的关于 BREACH 的内容是,攻击者可以使用压缩长度来读取压缩文档中的一些(可能是 secret 的)信息。
现在,让我们承认我在加载的页面中有一些 secret 信息,这并不意味着像 CSS 或 JS 这样的静态资源也有。
那么,是否可以仅对 html 页面(动态或非动态)禁用压缩并启用对非 secret 资源(如 CSS 或安全 JS)的压缩?
最佳答案
以下是我在这里找到的一些潜在解决方案
CSRF token 防御
HTTP 分块编码缓解
引用检查缓解
https://blog.qualys.com/ssllabs/2013/08/07/defending-against-the-breach-attack
关于apache - 无需告别压缩即可减轻 BREACH 攻击,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/27981169/