16 marzo, 2008

Google Caja

Caja es un proyecto de Google que permite ejecutar scripts de terceros sin temer por la seguridad. Caja limpia la parte de Javascript del contenido a publicar eliminando aquellas partes que puedan ser usadas para un escalado de privilegios que permitiera inyectar código malicioso.

Curiosamente, como parte de este proyecto es posible inspeccionar la librería json.js que se usa internamente en Google para convertir una cadena JSON en un objeto Javascript sin usar la función Eval (que permitiría cualquier cosa al contenido a insertar suponiendo una brecha enorme para la seguridad de la aplicación web). Tal y como explican en javascript ant y el propio Douglas Crockford en este artículo.

Publicar un comentario en la entrada

Últimos links en indiza.com