支持Dojo JavasScript库安全，可访问和高性能的立场是什么？

Question

我们为客户开发了一个小型Web应用程序。我们决定使用Dojo框架来开发应用程序（需求包括完整的国际化和国际化）。最初，我们开发的网络应用程序是一个“原型”，但无论如何，我们都制作了原型生产质量，以防万一。事实证明，我们开发的应用程序（或其变体）即将投入生产（几个月后），但它非常棒，企业架构组有点害怕。

508c兼容是一个问题，同样也是这个组的安全问题。我现在需要证明在这个架构组中使用Dojo是明智的，Dojo不会构成安全风险，并且Dojo不会伤害可访问性（并且Dojo会帮助满足核心要求）。

注意：网络应用程序当前需要打开JavaScript并使用样式表才能工作。我们使用Dojo的一个相对较小的子集：当然，dojo核心，dijit.form.Form，ValidationTextBox和其他一些。我们使用dojox.grid.DataGrid（但不拖拽N drop或可编辑的单元格，这些单元格不完全是a11y）。

我已经做了一些我自己的研究，当然，但是我所提供的任何信息或建议都是最有帮助的。

问候， LES2

Answer 1

我不知道怎么回答，除了指出的是，你会使用Dojo的好公司这个问题。一些对安全问题深感关切的大公司对该工具包做出了贡献，并将其用于自己的产品中。在工具包上进行了审计，其中包括最近发现了一个快速修补的问题 - 实际上，Dojo的CDN功能，如果您使用它，意味着您可以自动获取这样的修补程序。除此之外，我不确定提供什么证据。一个工具包是安全的，直到有人发现安全漏洞！此外，您可以使用Dojo或底层的HTML/JS技术做很多事情，这些技术并不安全。您需要遵循最佳做法。 JSON就是一个例子。有几种方法可以处理JSON。基础版本很快，适用于较旧的浏览器，但已知不安全。它只能用于受信任的数据源，并且通常使用相同的域策略，这就是您将要执行的操作。 dojox.secure中还有其他可供选择的方法，您可能需要查看一下，具体取决于您正在做什么，您可以为应用程序提供额外的安全级别。

出于性能考虑，你可以看看在不同的基准像taskspeed，这在很大程度上集中在常见的大多数工具包的dojo.query DOM遍历功能。当然，YMMV取决于您对Dojo的使用情况，但工具包之间存在良性竞争，并且每次发布都会持续改进。

对于可访问性，所有Dijit小部件都进行了审查，并认为其符合508c标准。有更精确的文件Dojo/Dijit a11y requirements。并非所有的dojox小部件都通过这个要求。

HTH