Должен ли я включить Gzip на сервере Nginx с SSL для приложения реагирования?

Question

У меня есть приложение реагирования с довольно большим размером сборки, оно развернуто на сервере Nginx с SSL.Я немного узнал о GZip и о том, как он может улучшить работу сайта.Но я также узнал, что использование GZip с SSL небезопасно.GZip включен для файлов HTML по умолчанию в Nginx.Должен ли я включить его для других файлов, таких как Javascript и CSS, чтобы повысить производительность?

Answer 1

Когда вы говорите

, небезопасно использовать GZip с SSL

Я предполагаю, что вы говорите о Атака с нарушением .Хорошо, чтобы атака взлома была успешной для сжатого ответа, должны быть выполнены два условия:

1. Отражать ввод пользователя в телах ответа HTTP
2. Отражать секрет (такой как CSRFтокен) в телах ответа HTTP

Когда вы отправляете сжатые файлы js / css в ответ, вы обычно не отражаете пользовательский ввод в ответе.Это означает, что вызов файла js / css возвращает только этот файл.

Кроме того, вы обычно не возвращаете конфиденциальные данные в ответе вместе со сжатыми файлами js / css.

Так что да, использовать сжатие Gzip для ресурсов js / css совершенно безопасно.Статические ответы не уязвимы для этой атаки.