Spring Security 的 SPA 是否需要 BREACH 保护？

我有一个典型的 Web 应用程序，其中我的后端基于具有 Spring Security 6.2+ 的 Spring Boot 3.2，而我的前端基于 Angular 13+

根据 SPA 文档的 Spring CSRF 配置，建议使用

XorCsrfTokenRequestAttributeHandler

进行 BREACH 保护。

因此我尝试了解什么是BREACH 攻击以及它如何利用系统。重点是：

为了容易受到攻击，Web 应用程序必须：

1. 从使用 HTTP 级压缩的服务器提供服务
2. 在 HTTP 响应正文中反映用户输入
3. 在 HTTP 响应正文中反映秘密（例如 CSRF 令牌）

据我所知，SPA 应用程序从 HTTP 客户端 cookie 中读取 CSRF 令牌（例如

XSRF-TOKEN

），并将其作为 HTTP 标头（例如

X-XSRF-TOKEN

）发送到服务器，用于不安全的 HTTP 方法。因此，对于 SPA 应用程序来说，第三个要求没有得到满足，因此，如果我们将 CSRF 令牌视为唯一的秘密，那么它们“不会”容易受到 BREACH 攻击。 我的理解正确吗？如果是，那么我们不需要像 Spring 文档推荐的那样为单页应用程序配置 CSRF，而是可以像下面这样配置：

@Bean SecurityFilterChain filterChain(HttpSecurity http) throws Exception { CsrfTokenRequestAttributeHandler csrfRequestHandler = new CsrfTokenRequestAttributeHandler(); // By setting the csrfRequestAttributeName to null, the CsrfToken // must first be loaded to determine what attribute name to use. // This causes the CsrfToken to be loaded on every request. // SPA needs csrf token on the first request to the server. csrfRequestHandler.setCsrfRequestAttributeName(null); http.csrf( crfConfigure -> crfConfigure .csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse()) .csrfTokenRequestHandler(csrfRequestHandler)); return http.build(); }