長い記事なので先に結論を書きます。 Spectre の登場で、ウェブサイトに必要とされるセキュリティ要件は増えました。具体的に必要な対策は下記の通りです。 すべてのリソースは Cross-Origin-Resource-Policy ヘッダーを使って cross-origin なドキュメントへの読み込みを制御する。 HTML ドキュメントには X-Frame-Options ヘッダーもしくは Content-Security-Policy (CSP) ヘッダーの frame-ancestors ディレクティブを追加して、cross-origin なページへの iframe による埋め込みを制御する。 HTML ドキュメントには Cross-Origin-Opener-Policy ヘッダーを追加して popup ウィンドウとして開かれた場合の cross-origin なページとのコミュニ
![Spectre の脅威とウェブサイトが設定すべきヘッダーについて](https://cdn-ak-scissors.b.st-hatena.com/image/square/41c742c8b947e001c8ddb52a91a9c38c17a787ce/height=288;version=1;width=512/https%3A%2F%2Fblog.agektmr.com%2Fimages%2F2021%2Fspectre1.png)