我的服务器是 centos 7.4,带有 Apache 2.4.6、PHP 5.4、Mysql 5.5。
我计划使用mod_deflate以下方法压缩网站文件:
<IfModule mod_deflate.c>
DeflateCompressionLevel 3
AddOutputFilterByType DEFLATE text/html text/xml text/css text/xml text/javascript application/x-javascript application/x-httpd-php
AddOutputFilter DEFLATE css js html htm xml
BrowserMatch ^Mozilla/4 gzip-only-text/html
BrowserMatch ^Mozilla/4\.0[678] no-gzip
BrowserMatch \bMSIE !no-gzip !gzip-only-text/html
SetEnvIfNoCase Request_URI \\.(?:gif|jpe?g|png)$ no-gzip dont-vary
SetEnvIfNoCase Request_URI .(?:exe|t?gz|zip|bz2|sit|rar)$ no-gzip dont-vary
SetEnvIfNoCase Request_URI .(?:pdf|mov|avi|mp3|mp4|rm)$ no-gzip dont-vary
Header append Vary User-Agent env=!dont-vary
</IfModule>
我认为一切都很好,但是当我读到这个邮政:
当 TLS 连接携带压缩数据时,某些 Web 应用程序容易受到信息泄露攻击。有关更多信息,请查看“BREACH”系列攻击的详细信息。
我不是专业人士,我只是想知道有没有办法安全地使用带有压缩功能的 TLS HTTPS?
提前谢谢!