Caja est-il prêt pour la production?

Question

Nous cherchons un moyen de sécuriser le code de tiers dans nos pages Web. Quelqu'un a suggéré que nous utilisions Caja. J'ai examiné cela, mais les informations à ce sujet sont assez clairsemées. Avant de plonger profondément dans, je voudrais tout d'abord savoir:

1. pouvez gérer Caja HTML intégré comme Google Map de, qui agit efficacement comme d'amorçage, et les charges tous les fichiers HTML actif et JavaScript lorsqu'il est exécuté par le navigateur ?

2. Caja est-il assez mature pour être utilisé dans un environnement de production ou est-il encore au stade de la conception?

Merci, Eran

Answer 1

Vous devriez jeter un oeil à leur issues list. La liste a l'air saine dans le sens où elle est vivante et active, donc c'est un point en faveur. Mais vous devriez regarder et voir si l'un de ces problèmes s'applique à vos besoins, sinon vous êtes probablement bien, si la réponse est oui, vous devez décider si vous êtes prêt à attendre, ou contribuer, ou mieux à la recherche de Quelque chose de nouveau.

Personnellement il semble ok, mais ne sais pas jusqu'où vous voulez prendre

Answer 2

Caja est activement utilisé dans la production par un certain nombre de projets, y compris les applications Yahoo Portal.

De http://developer.yahoo.com/yap/guide/caja-support.html

Le script cajolé est ensuite exécuté à l'intérieur un bac à sable de sécurité créé dans votre navigateur . Cela permet d'inclure en toute sécurité du contenu tiers arbitraire sur n'importe quelle page Web. En principe, Caja devrait être transparent. La plupart des JavaScript se comportent la même chose si elle est exécutée directement ou cajolée. Cependant, puisque Caja est actuellement en évolution et incomplète, il y a quelques différences notables.