Question

Читая ресурсы в Интернете, у меня сложилось впечатление, что сжат только BODY ответа, потому что вам нужно прочитать заголовок 'Content-Encoding', прежде чем вы сможете что-либо распаковать, и если это будет сжато, браузер не сможет распакуйте его.

Позже я читаю о CRIME-атаке, в которой говорится:

CRIME <...> - это эксплойт безопасности от секретных веб-файлов cookie

, что означает, что веб-файлы cookie также сжимаются, иначе это не принесет вреда. Но файлы cookie отправляются в заголовках, поэтому некоторые заголовки должны быть сжаты.

Я хотел бы получить четкий ответ о том, какие части ответа HTTP сжимает сжатие HTTP. Спасибо.

EDIT : Мое недоразумение произошло от смешения ПРЕСТУПЛЕНИЯ и НАРУШЕНИЯ.

CRIME фокусируется на сжатии TLS, который сжимает заголовки с телом, поэтому файлы cookie включены.

BREACH сосредотачивается на сжатии уровня HTTP, который не говорит о Cookies:)

Mike · Answer 1 · 09 ноября 2018

Сжимается только тело объекта (т. Е. Полезная нагрузка или представление), согласно RFC

Поле заголовка «Content-Encoding» указывает, какие кодировки содержимого были применены к представлению, помимо тех, которые присущи тип носителя и, следовательно, какие механизмы декодирования должны применяться в порядок получения данных в типе носителя, на который ссылается Content-Type поле заголовка Content-Encoding в основном используется для данные представления должны быть сжаты без потери идентичности его базовый тип носителя.

Какие части ответа HTTP сжимаются с использованием сжатия HTTP?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Какие части ответа HTTP сжимаются с использованием сжатия HTTP?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы