HTTPS + gzip:如果我只 gzip 非敏感文件,是否存在安全漏洞?

HTTPS + gzip: Is it a security vulnerability if I only gzip non-sensitive files?

据我了解,如果我将 gzipping 与 SSL/HTTPS 一起使用,它会打开一个安全漏洞 (BREACH/CRIME)。

如果我只在我的 CSS 和 JS 文件上使用它,如果这些文件是通过 HTTPS 从我的服务器提供的,它仍然是一个安全漏洞吗?

据我了解,答案是否定的 - 这不是安全漏洞。 CRIME/BEAST 攻击注入选定的明文以发现原始明文;在您的情况下,这将 CSS 和 JavaScript,它们没有安全价值。 (大概,您通过 HTTPS 为它们提供服务以避免浏览器上出现混合内容警告)。

攻击无法发现您的每会话对称密钥,因此假设它不使用 gzip/deflate,它就不会影响您的敏感内容。 当然,如果你希望100%确定,除了gzip,你还可以考虑分块编码,按照这篇文章:https://community.qualys.com/blogs/securitylabs/2013/08/07/defending-against-the-breach-attack