Dojo Widget安全通信指南

"Dojo Widget安全通讯文档，旨在让项目成员理解Dojo小部件之间的安全通信，为后续开发提供指导。文档涵盖了Dojo的基本概念、Dojo mashup、Dojo.secure工具包及其子模块，如Capability接口、DOM接口、JSON相关安全、SandBox以及Publish/Subscribe机制。" Dojo是一个开源的JavaScript工具包，它的源代码基于修改后的BSD许可和学术免费许可2.1版本。Dojo的核心功能包括处理浏览器差异、JavaScript模块化、DOM API、远程脚本、数据存储API等。此外，它还拥有Dijit这一小部件框架，提供了大约40种内置的HTML用户界面小部件，以及Dojox扩展库，包含了各种额外功能，如表格小部件和绘图库。 在Dojo的安全通信中，Dojo mashed-up功能允许不同来源的小部件协同工作，但同时也带来了安全问题。Dojo.secure工具包就是为了应对这些问题而设计的，它提供了一套安全措施来确保小部件间的交互不会带来安全风险。Secure工具包包括： 1. **Secure工具包简介**：这个工具包包含了一系列的类和接口，用于加密、解密和验证数据，防止跨站脚本攻击(XSS)和跨站请求伪造(CSRF)。 2. **Capability接口**：该接口用于定义和管理小部件的能力，允许开发者控制小部件可以访问哪些资源或执行哪些操作。 3. **DOM相关接口**：Dojo提供了安全的DOM操作接口，避免了直接操作DOM节点可能引发的安全问题，如注入攻击。 4. **JSON相关**：在处理JSON数据时，Dojo.secure提供了安全的方法来解析和序列化数据，防止JSON Hijacking。 5. **SandBox**：SandBox是Dojo的一个安全容器，它可以限制小部件的执行环境，隔离潜在的恶意代码，确保它们只能在预设的范围内运行。 6. **dojox.secure构建小部件**：Dojo提供了专门的工具和方法来创建安全的小部件，这些小部件遵循特定的安全规范，能够安全地与其他小部件交互。 7. **Publish/Subscribe**：Dojo的发布/订阅(Pub/Sub)系统支持事件驱动的通信，它在安全环境中同样重要，因为安全的事件传递可以防止信息泄露或恶意操作。 这个文档详述了每个部分的细节，并给出了实际应用的示例，帮助开发者理解和实现Dojo小部件间的安全通信。通过学习和实践，开发者可以更好地在项目中利用Dojo，同时确保应用程序的安全性。