security - 有哪些论据可以支持 Dojo Javascript 库安全、可访问且高性能的观点？

Question

我们为客户开发了一个小型网络应用程序。我们决定使用 Dojo 框架来开发应用程序(要求包括完整的 i18n 和 a11y)。最初，我们开发的网络应用程序是要作为“原型(prototype)”，但为了以防万一，我们还是将原型(prototype)制作成了生产质量。事实证明，我们开发的应用程序(或其变体)即将投入生产(几个月后)，但它太棒了，以至于企业架构团队有点害怕。

508c 合规性是一个问题，该组的安全性也是如此。我现在需要向这个架构组证明使用 Dojo 的合理性，明确证明 Dojo 不会带来安全风险，并且 Dojo 不会损害可访问性(并且 Dojo 可以帮助满足核心需求)。

注意:Web 应用程序当前需要启用 JavaScript 和样式表才能工作。我们使用 Dojo 的一个相对较小的子集:当然，dojo 核心、dijit.form.Form、ValidationTextBox 和其他一些。我们确实使用了dojox.grid.DataGrid(但没有拖放或可编辑单元格，这不是完全a11y)。

当然，我自己做了一些研究，但是您提供的任何信息或建议都会非常有帮助。

问候，LES2

Answer 1

我不知道如何回答这个问题，除了指出使用 Dojo 会是一个很好的伙伴。几家深切关注安全问题的大公司已经贡献了该工具包，并将其用于自己的产品中。已经对该工具包进行了审核，包括最近确实暴露了一个问题并很快得到了修补——事实上，Dojo 的 CDN 功能，如果您使用它，意味着您可以自动获取这样的补丁。除此之外，我不确定能提供什么证据。在有人发现安全漏洞之前，工具包是安全的!此外，您可以使用 Dojo 或底层 HTML/JS 技术做很多事情，但这些事情并不安全。您需要遵循最佳实践。 JSON 就是一个例子。有几种处理 JSON 的方法。基础版本速度很快，可以在较旧的浏览器上运行，但已知不安全。它只能与受信任的数据源一起使用，并且通常与相同的域策略一起使用，这就是您要做的。您可能需要查看 dojox.secure 中的替代方案，根据您正在执行的操作，您也许能够为您的应用程序提供额外级别的安全性。

对于性能，您可以查看各种基准测试，例如 taskspeed ，主要关注大多数工具包常见的 dojo.query DOM 遍历功能。当然，YMMV 取决于您对 Dojo 的使用情况，但是工具包之间存在良性竞争，并且每个版本都会不断改进。

为了可访问性，所有 Dijit 小部件都经过审查并被认为符合 508c 标准。 Dojo/Dijit a11y requirements 有更精确的文档。并非所有 dojox 小部件都满足此要求。

HTH