La compresión HTTP está controlada por el servidor web, usted configura IIS / Apache / Other según corresponda y esto establece el encabezado de compresión que su navegador entiende y trata el contenido según corresponda.
BREACH es una vulnerabilidad en aplicaciones que utilizan la compresión HTTP, refleja algún tipo de información del usuario y también refleja un secreto, como, como usted dice, un token CSRF. el atacante aprovecha las diferencias en los tamaños de respuesta para determinar los secretos. Hay una buena explicación de BREACH aquí
Las mitigaciones simples incluyen deshabilitar la compresión, lo que puede o no ser práctico dependiendo de su aplicación. Como la compresión se realiza a nivel de servidor web, determinar cuándo comprimir en la aplicación puede ser complicado, un enfoque más simple es inyectar ruido en la respuesta de las páginas que son vulnerables. Una cadena aleatoria de longitud aleatoria inyectada en la respuesta es una buena contramedida si desea mantener la compresión habilitada.