asp.net - .ASPX POST 请求 - 侵犯隐私：BREACH

问题描述

根据网络检查报告，我们的网站属于隐私违规：BREACH。推荐的修复方法是：

1. 禁用 HTTP 压缩

2. 确保用户输入和密码不包含在相同的响应内容中

3. 随机化秘密

我们从 IIS 应用 #1 禁用 HTTP 压缩 => 压缩 => 未选中静态和动态。哪个在我们的 DEV 上有效，但是当我们在 PRODUCTION 服务器中尝试时，它不起作用。*响应头仍然显示 c content-encoding: gzip。即使 HTTP 压缩已关闭

• 我理解 HTTP 压缩被禁用的方式是检查响应头并确保没有内容编码。

下面是来自 PROD 服务器的示例响应标头。

Cache-Control   
private
Connection  
Keep-Alive
Content-Encoding    
gzip
Content-Length  
71447
Content-Type    
text/plain; charset=utf-8
Date    
Thu, 24 May 2018 16:57:04 GMT
Server  
Microsoft-IIS/7.5
Strict-Transport-Security   
max-age=31536000; includeSubDomains
Vary    
Accept-Encoding
X-AspNet-Version    
4.0.30319
X-Content-Type-Options  
nosniff
X-Frame-Options 
SAMEORIGIN
X-XSS-Protection    
1; mode=block

--- Request Header

Accept  
*/*
Accept-Encoding 
gzip, deflate, br
Accept-Language 
en-US,en;q=0.5
Cache-Control   
no-cache
Connection  
keep-alive
Content-Length  
92398
Content-Type    
application/x-www-form-urlencoded; charset=utf-8
Cookie  
.ASPXANONYMOUS=fMbt3RErereq1AEkAAA…onId=00y51efaerreuc3pw0erereyehwc2wzxk
Host    
example.org
Pragma  
no-cache
Referer 
https://example.org/dsearch.aspx
User-Agent  
Mozilla/5.0 (Windows NT 6.1; W…) Gecko/20100101 Firefox/60.0
X-MicrosoftAjax 
Delta=true
X-Requested-With    
XMLHttpRequest

此外，如何应用 2 和 3 的修复。报告显示问题：

TSM_HiddenField_=ctl00_ContentPlaceHolder1_ToolkitScriptManager1_HiddenField&_TSM_CombinedScripts_=%3b% 3bAjaxControlToolkit%2c+Version%3d3.5.7.123%2c+Culture%3dneutral%2c+PublicKey令牌 和

ctl00_ContentPlaceHolder1_ToolkitScriptManager1_HiddenField=&__EVENTTARGET=&__EVENTARGUMENT=&__LASTFOCUS = PRexdxaxbhgeccgjdchdfcgcdefRP（在响应正文中修改）

标签： asp.netsecuritybreach-attack