尽管在早期的概念验证代码之后，最近才看到了“幽灵”（Spectre）安全漏洞的首个“纯武器化”利用。但自 2018 年 1 月以来，此类事件已经为 IT 行业敲响了多次警钟。最新消息是，为了更好地确保 JIT / JavaScript 代码不被潜在的漏洞利用，万维网联盟（W3C）正在积极筹备新版 Web 开发人员指南。

（传送门：GitHub）

在 GitHub 上公布的编辑草案中，已经概述了请求处理方面的代码建议，旨在限制任何形式的攻击者以文档或子资源的形式加载数据，进而防止 MIME 类型的混淆攻击、以及限制攻击者对窗口的处理能力。

在后 Spectre 安全漏洞时代，我们需要采用一些新的策略，来安全地进行 Web 开发。

本文档概述了我们可以分享的威胁模型，以及一套漏洞缓解建议。

总而言之，一定要确保你的数据不会意外落入攻击者的进程中。