什么时候不应该压缩 JavaScript？

Question

我注意到一些大牌网站在同一页面加载时提供压缩的 JavaScript 和未压缩的 JavaScript。

我还 read 表示，在通过 https 提供 JavaScript 时不应压缩 JavaScript。为了支持这一点，我注意到当从 Google 的 CDN 提供 jQuery 时，他们只提供从 HTTP 压缩的，而不是从 HTTPS 压缩的。

例如第一个是压缩的；第二个不是。

http://ajax.googleapis.com/ajax/libs/jquery/2.2.0/jquery.min.js"
https://ajax.googleapis.com/ajax/libs/jquery/2.2.0/jquery.min.js"

但是，如果您通过 https 从 Microsoft CDN 中提取 jQuery：

https://ajax.aspnetcdn.com/ajax/jquery.mobile/1.3.2/jquery.mobile-1.3.2.min.js

它被压缩了。

无论是否使用 HTTPS，在同一页面加载时同时提供压缩和未压缩服务的大型网站示例：

• https://wordpress.com — 压缩 19 个，不压缩 2 个。
• http://stackoverflow.com - 提供 9 个压缩文件，1 个不压缩
• https://www.microsoft.com — 压缩 10 个，不压缩 6 个

所以我的问题是：什么时候应该 gzip 我的 JavaScript，什么时候不应该？

注意，Can you use gzip over SSL? And Connection: Keep-Alive headers 的问题有点相似，因为那里的答案解释了在什么情况下不应该在 HTTPS 下使用压缩。然而，这只是我的问题的一半——一些 HTTP（不是 HTTPS）网站也压缩了一些但不是全部的 javascript 资源，例如上面提到的 Stackoverflow 示例。

Answer 1

最初我认为这与旧的浏览器支持有关，因为 IE6 和 Netscape4 在处理压缩的 js 文件时确实存在错误。但这与 HTTPS 无关。它本身就是压缩，服务器配置文件长期以来都有条件设置，如果检测到旧浏览器，则不压缩 js 文件。

经过一番谷歌搜索，事实证明问题不在于 js。它与HTTPS。 您不应通过 HTTPS/SPDY/HTTP2 提供压缩后的内容。当您通过 HTTPS 提供压缩内容时，可能会发生两种攻击：CRIME 和 BREACH。

CRIME 和 BREACH 攻击都利用 gzip 压缩数据以统计上可预测的方式减小其大小这一事实。这两种攻击都能够提取 cookie，根据您网站的工作方式，这些 cookie 允许攻击者登录用户帐户。

所以根据您的观察，我们可以得出结论，谷歌 CDN 配置正确。

但是，请注意这两种攻击的工作原理：它们的最终目标是会话劫持。如果您从 Microsoft 服务器下载 js/css/gif 文件，那么您的浏览器将不会随请求一起发送您网站的 cookie（同源策略）。所以微软可以原谅在 HTTPS 上提供压缩的 js 文件。

这意味着您可以通过 HTTPS 提供压缩文件！您只需确保这些文件来自不同的域，以防止 CRIME 和 BREACH 攻击窃取您的 cookie。