JavaScript 什么时候不应该压缩?
When should JavaScript NOT be gzipped?
我注意到一些大牌网站在同一页面加载时提供 JavaScript 压缩的和一些未压缩的。
我还 read JavaScript 在通过 https 提供时不应压缩。为了支持这一点,我注意到当从 Google 的 CDN 提供 jQuery 时,他们只提供从 HTTP 压缩的,而不是从 HTTPS 压缩的。
例如第一个是压缩的;第二个不是。
http://ajax.googleapis.com/ajax/libs/jquery/2.2.0/jquery.min.js"
https://ajax.googleapis.com/ajax/libs/jquery/2.2.0/jquery.min.js"
但是,如果您通过 https 从 Microsoft CDN 中提取 jQuery:
https://ajax.aspnetcdn.com/ajax/jquery.mobile/1.3.2/jquery.mobile-1.3.2.min.js
它是压缩的。
在同一页面加载时提供压缩和未压缩服务的大型网站示例,无论是否使用 HTTPS:
- https://wordpress.com — 提供 19 个压缩的,2 个不压缩。
- http://whosebug.com — 提供 9 个压缩的,1 个未压缩的
- https://www.microsoft.com — 压缩 10 次,非压缩 6 次
所以我的问题是:我什么时候应该 gzip 我的 JavaScript 什么时候不应该?
注意,Can you use gzip over SSL? And Connection: Keep-Alive headers 的问题有点相似,那里的答案解释了在什么情况下不应在 HTTPS 下使用压缩。然而,这只是我问题的一半——一些 HTTP(不是 HTTPS)站点也压缩了一些但不是全部的 javascript 资源,例如上面提到的 Whosebug 示例。
最初我认为这与旧浏览器支持有关,因为 IE6 和 Netscape4 在处理压缩的 js 文件时确实存在错误。但这与 HTTPS 无关。它本身就是压缩,服务器配置文件长期以来一直有条件设置,如果检测到旧浏览器则不压缩 js 文件。
经过一番谷歌搜索,发现问题不在于js。它与 HTTPS 一起使用。 您不应在 HTTPS/SPDY/HTTP2 上提供压缩内容。当您通过 HTTPS 提供 gzip 内容时,可能会发生两种攻击:CRIME and BREACH.
CRIME 和 BREACH 攻击都利用了 gzip 压缩数据以统计上可预测的方式减小其大小这一事实。这两种攻击都能够提取 cookie,这取决于您网站的工作方式,允许攻击者登录用户帐户。
因此,根据您的观察,我们可以得出结论,google CDN 已正确配置。
但是,请注意这两种攻击的工作原理:它们的最终目标是会话劫持。如果您从 Microsoft 服务器下载 js/css/gif 文件,那么您的浏览器将不会随请求一起发送您网站的 cookie(same-origin 政策)。所以微软在 HTTPS 上提供压缩的 js 文件是可以原谅的。
这意味着您可以通过 HTTPS 提供压缩文件!您只需确保这些文件来自不同的域,以防止 CRIME 和 BREACH 攻击窃取您的 cookie。
我注意到一些大牌网站在同一页面加载时提供 JavaScript 压缩的和一些未压缩的。
我还 read JavaScript 在通过 https 提供时不应压缩。为了支持这一点,我注意到当从 Google 的 CDN 提供 jQuery 时,他们只提供从 HTTP 压缩的,而不是从 HTTPS 压缩的。
例如第一个是压缩的;第二个不是。
http://ajax.googleapis.com/ajax/libs/jquery/2.2.0/jquery.min.js"
https://ajax.googleapis.com/ajax/libs/jquery/2.2.0/jquery.min.js"
但是,如果您通过 https 从 Microsoft CDN 中提取 jQuery:
https://ajax.aspnetcdn.com/ajax/jquery.mobile/1.3.2/jquery.mobile-1.3.2.min.js
它是压缩的。
在同一页面加载时提供压缩和未压缩服务的大型网站示例,无论是否使用 HTTPS:
- https://wordpress.com — 提供 19 个压缩的,2 个不压缩。
- http://whosebug.com — 提供 9 个压缩的,1 个未压缩的
- https://www.microsoft.com — 压缩 10 次,非压缩 6 次
所以我的问题是:我什么时候应该 gzip 我的 JavaScript 什么时候不应该?
注意,Can you use gzip over SSL? And Connection: Keep-Alive headers 的问题有点相似,那里的答案解释了在什么情况下不应在 HTTPS 下使用压缩。然而,这只是我问题的一半——一些 HTTP(不是 HTTPS)站点也压缩了一些但不是全部的 javascript 资源,例如上面提到的 Whosebug 示例。
最初我认为这与旧浏览器支持有关,因为 IE6 和 Netscape4 在处理压缩的 js 文件时确实存在错误。但这与 HTTPS 无关。它本身就是压缩,服务器配置文件长期以来一直有条件设置,如果检测到旧浏览器则不压缩 js 文件。
经过一番谷歌搜索,发现问题不在于js。它与 HTTPS 一起使用。 您不应在 HTTPS/SPDY/HTTP2 上提供压缩内容。当您通过 HTTPS 提供 gzip 内容时,可能会发生两种攻击:CRIME and BREACH.
CRIME 和 BREACH 攻击都利用了 gzip 压缩数据以统计上可预测的方式减小其大小这一事实。这两种攻击都能够提取 cookie,这取决于您网站的工作方式,允许攻击者登录用户帐户。
因此,根据您的观察,我们可以得出结论,google CDN 已正确配置。
但是,请注意这两种攻击的工作原理:它们的最终目标是会话劫持。如果您从 Microsoft 服务器下载 js/css/gif 文件,那么您的浏览器将不会随请求一起发送您网站的 cookie(same-origin 政策)。所以微软在 HTTPS 上提供压缩的 js 文件是可以原谅的。
这意味着您可以通过 HTTPS 提供压缩文件!您只需确保这些文件来自不同的域,以防止 CRIME 和 BREACH 攻击窃取您的 cookie。