Sé que hay varias herramientas de compresión HTTP por ahí.
Para evitar por completo que un sitio sea susceptible de BREACH, ¿qué algoritmo de compresión HTTP debería usar?
Además, ¿cómo debo asegurarme de que el servidor lo use?
(La conversación sobre Brotli señaló pero realmente no responde la pregunta: Compresión de Brotli para HTTPS )
BREACH es un problema con la forma en que se utilizan los datos comprimidos, no con el algoritmo de compresión que se está utilizando. Si está enviando datos confidenciales (tokens CSRF, por ejemplo) o utilizando contenido dinámico, entonces la compresión HTTP puede hacer posible revelar los secretos. Para contenido estático o no sensible, cualquier técnica de compresión está bien. Para admitir la mayoría de los navegadores, debes usar DEFLATE o gzip.
Lea otras preguntas en las etiquetas http compression