我读到Spectre(CVE-2017-5753),但目前还不清楚它对日常程序员的影响有多大?我读了几篇文章,但我仍然不确定它是否会破坏我的旧项目或现有代码。在尝试适应Spectre介绍的有关浏览器如何处理JavaScript的变化时,知道我应该注意什么会很棒。
答案 0 :(得分:3)
经过研究,我发现了一些建议here。
最佳实践简要总结:
使用Set-Cookie标头中的选项阻止将Cookie加载到渲染器的内存中。
难以猜测并访问包含敏感信息的网页的网址。如果攻击者知道URL,则可能会强制渲染器将其加载到其内存中。仅源同源策略无法抵御这些攻击。
确保使用正确的MIME类型返回所有响应,并确保内容类型标记为nosniff。这将阻止浏览器重新解释响应的内容,并且当恶意站点尝试以某种方式加载时,可以防止它被加载到呈现器的内存中。
参考文献: