需要:灵活而安全的用户HTML嵌入技术

会 Caja 为你工作?

caja(发音为“ka ha”)是“虚拟的” iframes“:它允许您 不受信任的第三方HTML和 在您的页面和 还是要安全。恰亚

• 更严格地控制代码的功能:
  • 没有重定向到仿冒网页:不受信任的代码所具有的窗口对象是由包含网页创建的假对象
  • 无恶意软件:所有对URL的请求都被代理
  • 无xss:dynamic html清理
• 允许不受信任的代码为iframes中的当前代码提供比安全更大的权限。以下是一些可能性:
  • 浮动框架(“信息窗口”)
  • 框架不必是矩形的
  • 帧可以在没有当前笨拙协议的情况下进行通信
  • 读者可以广播有关当前文章的地理信息;地图小工具会跳到该位置,而新闻小工具会获取本地故事,而天气小工具则会拉高天气。
  • 同样,对于财务信息或娱乐信息
  • 可扩展的语法高亮显示程序可以具有标记文本但不会将内容泄漏到其他网站的插件。
  • 可以是位通道(只能发送信息)或代码通道(可以发送功能)
  • 托管页面可以控制谁与谁交谈

标记或其他轻型标记语言;用于嵌入的自定义宏 允许 代码段(如在wordpress.com上完成嵌入youtube视频)