跳到主要内容

6. Security Considerations (安全考量)

本规范仅增加了对所支持 Content Coding 的发现能力, 以及对因不支持的 Content Coding 而导致失败的请求的诊断信息. 因此, 除 HTTP/1.1 ([RFC7231] 第 9 节) 与 HTTP/2 ([RFC7540] 第 10 节) 中已有的安全考量之外, 它并未引入新的安全考量.

然而, 更好的可发现性与诊断旨在使在请求中使用 Content Coding 更容易. 这可能导致 gzip 等压缩编码的使用增加 ([RFC7230] 第 4.2 节); 当在安全信道上传输时, 这可能启用诸如 BREACH 之类的侧信道攻击 (见 [RFC7540] 第 10.6 节与 [BREACH]). 在本文档发布时, 尚不清楚如何将 BREACH 类攻击应用于 HTTP 请求中的压缩.

最后 更新