gpt4 book ai didi

apache - 无需告别压缩即可减轻 BREACH 攻击

转载 作者:行者123 更新时间:2023-12-02 11:22:23 32 4
gpt4 key购买 nike

我到处寻找缓解方法 this vulnerability ,我发现类似:

Just disable http compression.



嗯,这很痛苦,因为压缩可以节省大量带宽,而且还可以让您的网页加载速度更快。此外,我读到的关于 BREACH 的内容是,攻击者可以使用压缩长度来读取压缩文档中的一些(可能是 secret 的)信息。

现在,让我们承认我在加载的页面中有一些 secret 信息,这并不意味着像 CSS 或 JS 这样的静态资源也有。

那么,是否可以仅对 html 页面(动态或非动态)禁用压缩并启用对非 secret 资源(如 CSS 或安全 JS)的压缩?

最佳答案

以下是我在这里找到的一些潜在解决方案

CSRF token 防御

HTTP 分块编码缓解

引用检查缓解

https://blog.qualys.com/ssllabs/2013/08/07/defending-against-the-breach-attack

关于apache - 无需告别压缩即可减轻 BREACH 攻击,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/27981169/

32 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com