javascript - 阅读有关幽灵的信息。我可能需要对我的代码进行哪些更改？

Question

我阅读了有关Spectre (CVE-2017-5753) 的信息，但不清楚它实际上如何影响日常程序员？我读了几篇文章，但我仍然不确定它是否会破坏我的任何旧项目或现有代码。很高兴知道在尝试适应 Spectre 引入的有关浏览器如何处理 JavaScript 的变化时我应该注意什么。

Answer 1

经过研究，我在这里找到了一些建议。

最佳实践简要总结：

• 使用 Set-Cookie 标头中的选项防止 cookie 加载到渲染器的内存中。

• 使猜测和访问包含敏感信息的页面的 URL 变得困难。如果攻击者知道该 URL，则渲染器可能会被迫将其加载到其内存中。单靠同源策略并不能防止这些攻击。

• 确保以正确的 MIME 类型返回所有​​响应，并且将内容类型标记为 nosniff。这将防止浏览器重新解释响应的内容，并且可以防止在恶意站点尝试以某些方式加载它时将其加载到渲染器的内存中。

参考：

• https://www.scademy.com/recovering-from-spectre-javascript-changes/

• https://blog.mozilla.org/security/2018/01/03/mitigations-landing-new-class-timing-attack/

• https://blogs.windows.com/msedgedev/2018/01/03/speculative-execution-mitigations-microsoft-edge-internet-explorer/