Caja在预防XSS方面有多有效？

Question

我最近发现了Caja，这看起来是防止XSS的有效方法。从他们的网站：

Caja编译器是一个使第三方HTML、CSS和JavaScript安全地嵌入到您的网站中的工具。它支持嵌入页面与嵌入式应用程序之间的丰富交互。Caja使用对象-功能安全模型来支持广泛的灵活的安全策略，这样您的网站就可以有效地控制嵌入式第三方代码对用户数据的处理。

而且还：

Caja将一段Web内容--粗略地说，你会在HTML页面的正文标记中看到的HTML、CSS和JavaScript --转化为一个Caja模块。该模块表示为可以在Caja容器中运行的单个JavaScript模块函数。

这是否意味着使用Caja I可以让用户能够进入HTML/CSS而不必担心可能的XSS攻击？

Answer 1

在我看来，这完全取决于你是否只是在使用Caja，或者你是否也有一种后端语言。

我之所以这么说，是因为后端可能有类似于搜索模块的东西，它不能净化任何数据，因此可以输出恶意格式良好的字符串，从而导致XSS (或其他攻击)。

如果你说Caja在防止XSS方面有多有效，那么从我所读到的来看，它看起来很好，但是我个人从未使用过它，但是我从它那里听到了一些好的东西。