Sembra che ci siano più prodotti di "sicurezza" che s viaggio o manipola le intestazioni 'Accept-encoding' , forzando così le risposte non compresse dai server HTTP.
Ho cercato di immaginare se c'è una buona ragione per farlo - è relativamente semplice rilevare quale browser sta facendo la richiesta e quindi fare una risposta compressa quindi non fornisce molta protezione contro zip-bombs .
Una spiegazione: i dati compressi sono più difficili da analizzare in tempo reale. Se il prodotto sta eseguendo una sorta di filtraggio del contenuto sui flussi HTTP live, è più semplice gestire flussi non compressi. Potrebbe essere la scansione di malware o il blocco di contenuti non approvati (alcuni di questi prodotti sono orientati all'impresa).
Se il firewall sta tentando di analizzare il flusso, è vantaggioso non dover gestire flussi compressi. Ciò richiede il buffering e la decompressione dei dati dopo che è stato assemblato un numero sufficiente di componenti, così come un piccolo sovraccarico della CPU per dover decodificare il flusso compresso per un totale di due volte. (Inoltre, è semplicemente più sforzo.)