犯罪是如何对付饼干的

Question

关于犯罪问题的维基：

犯罪<...>是一种针对秘密web cookie的安全漏洞

关于内容的RFC 2616 -编码：

当存在内容编码实体头<...>时，它的值指示对实体主体应用了什么<...>编码，因此必须应用什么解码机制<...>。

我在这里的问题是：

如果压缩不压缩Cookies (根据RFC，它只压缩身体，cookie是头部的一部分)，那么犯罪攻击是如何可能的呢？我这方面一定有误会。

注意:我不是在问如何防止攻击，而是问它是如何工作的。

Answer 1

如果压缩不压缩Cookies (根据RFC，它只压缩身体，cookie是头部的一部分)，那么犯罪攻击是如何可能的呢？

犯罪不是在HTTP级别起作用，而是在TLS级别起作用。这里的问题不是HTTP主体的压缩，而是在TLS级别上对完整连接的压缩。这样，压缩还包括HTTP头，其中包含Cookie。

有关更详细的解释，请参见犯罪-如何打败野兽接班人？。