阅读有关幽灵的信息。我的代码可能需要进行哪些更改?
Read about Spectre. What changes may I need in my code?
我读到了 Spectre (CVE-2017-5753),但不清楚它对日常程序员的实际影响如何?我读了几篇文章,但我仍然不确定它是否会破坏我的任何旧项目或现有代码。很高兴知道在尝试适应 Spectre 引入的关于浏览器处理方式的变化时我应该注意什么 JavaScript.
经过研究,我找到了一些建议 here。
最佳实践简要总结:
使用 Set-Cookie header.
很难猜测和访问包含敏感信息的 URL 页面。如果 URL 为攻击者所知,则渲染器可能被迫将其加载到内存中。 Same-origin 政策本身并不能抵御这些攻击。
确保所有响应都以正确的 MIME 类型返回,并且内容类型标记为 nosniff。这将防止浏览器重新解释响应的内容,并且可以防止当恶意站点试图以某些方式加载它时将其加载到渲染器的内存中。
参考文献:
我读到了 Spectre (CVE-2017-5753),但不清楚它对日常程序员的实际影响如何?我读了几篇文章,但我仍然不确定它是否会破坏我的任何旧项目或现有代码。很高兴知道在尝试适应 Spectre 引入的关于浏览器处理方式的变化时我应该注意什么 JavaScript.
经过研究,我找到了一些建议 here。
最佳实践简要总结:
使用 Set-Cookie header.
中的选项防止将 cookie 加载到渲染器的内存中
很难猜测和访问包含敏感信息的 URL 页面。如果 URL 为攻击者所知,则渲染器可能被迫将其加载到内存中。 Same-origin 政策本身并不能抵御这些攻击。
确保所有响应都以正确的 MIME 类型返回,并且内容类型标记为 nosniff。这将防止浏览器重新解释响应的内容,并且可以防止当恶意站点试图以某些方式加载它时将其加载到渲染器的内存中。
参考文献: