Ho un'applicazione singola pagina ospitata su example.com che si basa su api.example.com. La SPA invia le credenziali dell'utente (token JWT) nell'intestazione dell'autorizzazione per ogni richiesta.
Supponiamo che le API abbiano un endpoint (api.example.com/search) che accetta l'input fornito dall'utente e restituisce l'input nella risposta.
Sto cercando di capire se le API sarebbero vulnerabili agli attacchi BREACH se abilito la compressione sul server API. Come mai?