到处寻找缓解this vulnerability的解决方案,我找到了类似的内容:
只需禁用http压缩。
嗯,这很痛苦,因为压缩可以节省大量带宽,也可以让您的网页加载速度更快。此外,我读到的有关BREACH的内容是,攻击者可以使用压缩长度来读取压缩文档中的一些(可能是秘密的)信息。
现在,我们承认我在加载的页面中确实有一些秘密信息,这并不代表CSS或JS等静态资源。
那么,它是否只是为html页面禁用压缩(动态与否)的解决方案,并为CSS或安全JS等非秘密资源启用压缩?
答案 0 :(得分:0)
以下是我在这里找到的一些潜在解决方案
CSRF令牌防御
HTTP Chunked编码缓解
Referer Check Mitigation
https://blog.qualys.com/ssllabs/2013/08/07/defending-against-the-breach-attack