Google ha rilasciato Caja intorno al 2008 (capacità JavaScript). È ancora principalmente una lingua di laboratorio. Ma l'XSS e altri attacchi sarebbero prevenuti se ci fosse un'integrazione diffusa di Caja.
Sono il capo tecnico di Caja. Dal momento che è la versione iniziale, abbiamo continuato a progettare e implementare Caja. Con ogni iterazione abbiamo reso l'input accettabile come input più grande (e più vicino a plain-old-javascript) e il nostro output più veloce e più debugable. Durante i nostri test abbiamo rilevato che la mancanza di queste funzionalità ha reso difficile l'adozione da parte degli sviluppatori.
La nostra attuale iterazione si basa sul severo supporto di ES5 nei browser moderni ed è eseguita a piena velocità e con una traduzione sufficientemente semplice da essere trascurabile durante il debug. Non abbiamo ancora finito con tutte le funzionalità della nuova versione, ma puoi provarla sperimentalmente al link . Ci aspettiamo che la nostra versione moderna di Caja veda un'adozione molto più grande.
Continueremo a supportare i browser più vecchi con la nostra versione di traduzione lato server esistente e i siti esistenti possono iniziare a usarlo oggi e iniziare a ricevere presto la versione moderna basata sulla versione del browser. Ad esempio, Google Sites utilizza Caja per sandbox HTML Box in questo modo.
Per ulteriori informazioni su come incorporare i contenuti utilizzando Caja, vedi link
Leggi altre domande sui tag javascript security google