Tengo una aplicación de una sola página que está alojada en example.com que se basa en api.example.com. El SPA envía las credenciales de usuario (token JWT) en el encabezado de autorización para cada solicitud.
Supongamos que las API tienen un punto final (api.example.com/search) que tomaría la entrada proporcionada por el usuario y devolvería la entrada en la respuesta.
Estoy tratando de entender si las API serían vulnerables al ataque BREACH si habilito la compresión en el servidor de API. ¿Cómo?