了解幽灵。我的代码可能需要哪些更改?

时间:2018-01-11 12:58:34

标签: javascript spectre

我读到Spectre(CVE-2017-5753),但目前还不清楚它对日常程序员的影响有多大?我读了几篇文章,但我仍然不确定它是否会破坏我的旧项目或现有代码。在尝试适应Spectre介绍的有关浏览器如何处理JavaScript的变化时,知道我应该注意什么会很棒。

1 个答案:

答案 0 :(得分:3)

经过研究,我发现了一些建议here

最佳实践简要总结:

  • 使用Set-Cookie标头中的选项阻止将Cookie加载到渲染器的内存中。

  • 难以猜测并访问包含敏感信息的网页的网址。如果攻击者知道URL,则可能会强制渲染器将其加载到其内存中。仅源同源策略无法抵御这些攻击。

  • 确保使用正确的MIME类型返回所有​​响应,并确保内容类型标记为nosniff。这将阻止浏览器重新解释响应的内容,并且当恶意站点尝试以某种方式加载时,可以防止它被加载到呈现器的内存中。

参考文献:

相关问题