Inleiding
Dit document beschrijft een specifieke SWG-beperking waarbij SSL-inspectie de ondersteuning voor Brotli-compressie uitschakelt, wat problemen met het laden van het web kan veroorzaken.
Achtergrondinformatie
Wanneer SSL-inspectie (HTTPS-decodering) is ingeschakeld in Cisco Secure Web Gateway (SWG), is een belangrijke beperking dat SWG momenteel geen Brotli-compressie ondersteunt. Deze beperking is van invloed op de manier waarop headers voor het coderen van inhoud worden behandeld tijdens SSL-decodering, wat kan leiden tot problemen met het laden van inhoud en onvolledige webasset.
Probleem
Eigenlijk SWG's gebrek aan Brotli-ondersteuning zorgt ervoor dat de proxy de Accept-Encoding-header die Brotli (br) bevat, stript of wijzigt. Hierdoor kan de server reageren met onverwachte MIME types zoals application/x-gzip in plaats van de juiste applicatie/javascript. Dit MIME-type mismatch triggert beveiligingsfuncties van browsers zoals Chrome's Opaque Response Blocking (ORB), die de inhoud blokkeert om potentiële beveiligingsrisico's te voorkomen. Bijgevolg:
-
Activa die gecomprimeerd zijn met Brotli kunnen niet goed worden behandeld of herkend door SWG tijdens SSL-decodering.
-
De verwijdering van Brotli door de proxy uit de kop Accept-Encoding zorgt ervoor dat de server inhoud met onjuiste MIME-typen weergeeft.
-
Browsers blokkeren de inhoud, waardoor essentiële webmiddelen niet kunnen worden geladen.
Oplossing
Om dit probleem te verminderen, wordt het aanbevolen om SSL-decodering voor getroffen domeinen te omzeilen door ze toe te voegen aan de lijst "Niet decoderen". Dit voorkomt dat het MIME-type niet overeenkomt en inhoud wordt geblokkeerd. Bovendien wordt verwacht dat Cisco Secure Web Gateway Brotli-compressie ondersteunt en in de nabije toekomst een verbeterde verwerking van moderne webcontentcodering biedt.
Gerelateerde informatie
Feedback