什么是BREACH攻击？

BREACH是针对HTTPS的安全漏洞。使用HTTP压缩时，可以首先执行盲目的蛮力搜索以猜测几个字节，然后进行`分治式`搜索以扩展一个字节。对任意数量的内容进行正确的猜测。

对策

如果攻击者可以读取您的加密流量的大小，并且还可以发出带有CSRF令牌的任意数量的HTTP请求，则您的站点将受到威胁。缓解此攻击的传统方法是禁用HTTP压缩，这会严重损害性能。

另一个可能的解决方案是确保CSRF令牌包括一些随机性，以防止响应中重复输出。这就是在Symfony 5.3中 CSRF令牌会自动随机化的原因。

该随机化过程对应用程序是透明的，因此您无需配置任何内容，也无需更改应用程序代码。如果由于此攻击而在使用HTTPS时禁用了压缩，请升级到Symfony 5.3并再次启用压缩以提高站点性能。

从长远来看，这是为什么使用像Symfony这样的专业框架会更好的另一个原因。Symfony将保护您的应用程序和用户免受许多常见的安全漏洞的侵害，即使您不知道这些漏洞也是如此。

官方博客翻译，如有瑕疵，请在评论中指正。