我们为客户开发了一个小型Web应用程序。我们决定使用Dojo框架开发应用程序(包含的要求是完整的i18n和a11y)。最初,我们开发的网络应用程序是一个“原型”,但我们无论如何都制作了原型生产质量,以防万一。事实证明,我们开发的应用程序(或其变体)将投入生产(许多个月),但它非常棒,以至于企业架构组有点害怕。
508c兼容是一个问题,这个组的安全性也是如此。我现在需要证明Dojo在这个体系结构组中的使用是合理的,明确地说Dojo不会带来安全风险,并且Dojo不会损害可访问性(并且Dojo可以帮助满足核心要求)。
注意:该网络应用目前需要启用JavaScript并使用样式表。我们使用Dojo的一个相对较小的子集:当然,dojo核心,dijit.form.Form,ValidationTextBox和其他一些。我们确实使用dojox.grid.DataGrid(但没有拖拽N下降或可编辑的单元格,这些单元格不完全是a11y)。
我当然做了一些自己的研究,但是我提供的任何信息或建议都会对你有所帮助。
此致 LES2
答案 0 :(得分:1)
我不知道如何回答这个问题,除非要指出你使用Dojo做得很好。一些对安全问题深感担忧的大公司为该工具包做出了贡献,并将其用于自己的产品中。已经在工具包上进行了审计,包括最近确实暴露了一个问题并快速打补丁的工具包 - 事实上,Dojo的CDN功能,如果你使用它,意味着你可以自动获取这样的补丁。除此之外,我不确定提供什么证据。在有人发现安全漏洞之前,工具包是安全的!此外,您可以使用Dojo或基础HTML / JS技术做很多事情,这些事情并不安全。您需要遵循最佳实践。一个例子是JSON。有几种方法可以处理JSON。基础速度很快,适用于较旧的浏览器,但已知不安全。它仅用于受信任的数据源,通常使用相同的域策略,这就是您要做的事情。您可能希望查看dojox.secure中的备选方案,具体取决于您正在执行的操作,您可以为应用程序提供额外的安全级别。
为了提高性能,您可以查看各种基准测试,例如taskspeed,它们主要关注大多数工具包常见的dojo.query DOM遍历功能。当然,YMMV取决于你对Dojo的使用,但是每个版本的工具包和持续改进之间存在着良好的竞争。
对于辅助功能,所有Dijit小部件都经过审核并被认为符合508c标准。有关Dojo/Dijit a11y requirements的更准确的文档。并非所有dojox小部件都通过此要求。
HTH