标签: javascript cross-domain sandbox browser-security
我正在为大型应用设计前端。计划是拥有一个管理子应用程序的主应用程序,用户可以从应用程序商店向其仪表板添加更多应用程序,所有这些应用程序都在浏览器的JavaScript中。问题是沙盒,基本上,我不希望appX能够窃取appY的数据(通过DOM或其他方式)。我知道谷歌Caja虽然目前我倾向于在不同的域上运行iframe(非常花哨的nginx配置允许应用程序共享API)。这会有用吗?有没有其他选择(在浏览器的上下文中运行第三方应用程序)?
appX
appY