尽管在早期的概念验证代码之后,最近才看到了“幽灵”(Spctr)安全漏洞的首个“纯武器化”利用。但自年1月以来,此类事件已经为IT行业敲响了多次警钟。最新消息是,为了更好地确保JIT/JavaScript代码不被潜在的漏洞利用,万维网联盟(W3C)正在积极筹备新版Wb开发人员指南。
(传送门:GitHub)
在GitHub上公布的编辑草案中,已经概述了请求处理方面的代码建议,旨在限制任何形式的攻击者以文档或子资源的形式加载数据,进而防止MIME类型的混淆攻击、以及限制攻击者对窗口的处理能力。
在后Spctr安全漏洞时代,我们需要采用一些新的策略,来安全地进行Wb开发。
本文档概述了我们可以分享的威胁模型,以及一套漏洞缓解建议。
总而言之,一定要确保你的数据不会意外落入攻击者的进程中。