我注意到一些大牌网站在同一页面加载时提供压缩的 JavaScript 和一些未压缩的 JavaScript。
我也是read通过 https 提供 JavaScript 时不应压缩。为了支持这一点,我注意到当从 Google 的 CDN 提供 jQuery 时,他们只提供从 HTTP 压缩的,而不是从 HTTPS 压缩的。
例如第一个是压缩的;第二个不是。
http://ajax.googleapis.com/ajax/libs/jquery/2.2.0/jquery.min.js"
https://ajax.googleapis.com/ajax/libs/jquery/2.2.0/jquery.min.js"
但是,如果您通过 https 从 Microsoft CDN 中提取 jQuery:
https://ajax.aspnetcdn.com/ajax/jquery.mobile/1.3.2/jquery.mobile-1.3.2.min.js
它是压缩的。
在同一页面加载时提供压缩和未压缩服务的大型网站示例,无论是否使用 HTTPS:
- https://wordpress.com — 提供 19 份压缩食品,2 份不提供。
- http://stackoverflow.com — 提供 9 份压缩食品,1 份不提供
- https://www.microsoft.com — 提供 10 份压缩食品,6 份不提供
所以我的问题是:我什么时候应该 gzip 我的 JavaScript,什么时候不应该?
注意,问题在 Can you use gzip over SSL? And Connection: Keep-Alive headers有点相似,那里的答案解释了在什么情况下不应在 HTTPS 下使用压缩。然而,这只是我的问题的一半——一些 HTTP(不是 HTTPS)站点也压缩了一些但不是全部的 javascript 资源,例如上面提到的 Stackoverflow 示例。
最佳答案
最初我认为它与旧浏览器支持有关,因为 IE6 和 Netscape4 在处理压缩的 js 文件时确实存在错误。但这与 HTTPS 无关。它本身就是压缩,服务器配置文件长期以来一直有条件设置,如果检测到旧浏览器则不压缩 js 文件。
经过一番谷歌搜索,发现问题不在于 js。它与 HTTPS 一起使用。 您不应通过 HTTPS/SPDY/HTTP2 提供 gzip 压缩内容。当您通过 HTTPS 提供 gzip 内容时,可能会发生两种攻击:CRIME和 BREACH .
CRIME 和 BREACH 攻击都利用了 gzip 压缩数据以统计上可预测的方式减小其大小这一事实。这两种攻击都能够提取 cookie,这取决于您网站的工作方式,允许攻击者登录用户帐户。
因此,根据您的观察,我们可以得出结论,Google CDN 已正确配置。
但是,请注意这两种攻击的工作原理:它们的最终目标是 session 劫持。如果您从 Microsoft 服务器下载 js/css/gif 文件,那么您的浏览器将不会随请求一起发送您网站的 cookie(同源策略)。因此,Microsoft 在 HTTPS 上提供压缩的 js 文件是可以原谅的。
这意味着您可以通过 HTTPS 提供压缩文件!您只需确保这些文件来自不同的域,以防止 CRIME 和 BREACH 攻击窃取您的 cookie。
关于javascript - 什么时候不应该对 JavaScript 进行 gzip 压缩?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/35027028/