背景与价值XS-Leaks利用跨站侧信道泄露数据。隔离与策略治理可显著降低风险。统一规范隔离:启用 `COOP: same-origin` 与 `COEP: require-corp`。Referer策略:默认 `strict-origin-when-cross-origin`,敏感页面 `no-referrer`。私有缓存:对用户态响应统一 `private, no-store` 并禁用压缩。核心实现响应头设置type Res = { setHeader: (k: string, v: string) => void } function setXsLeaksHeaders(res: Res, sensitive = false) { res.setHeader('Cross-Origin-Opener-Policy', 'same-origin') res.setHeader('Cross-Origin-Embedder-Policy', 'require-corp') res.setHeader('Referrer-Policy', sensitive ? 'no-referrer' : 'strict-origin-when-cross-origin') res.setHeader('Cache-Control', sensitive ? 'private, no-store' : 'public, max-age=60') res.setHeader('X-Compress-Policy', sensitive ? 'disable' : 'enable') } 落地建议对登录态与敏感页面启用跨站隔离与私有缓存策略,减少信息泄露面。持续审计并扩大 `no-referrer` 范围到高风险页面。验证清单是否统一下发隔离与Referer策略;敏感页面是否禁用压缩与缓存。
投稿
微信公众账号
微信扫一扫加关注
评论 返回
顶部
发表评论 取消回复