Caja とは何かOpenSocial 周りの調査をしていると、Caja という言葉に遭遇します。セキュアな JavaScript を実現するもの、ということだけ分かっていたのですが、詳細を調べてみました。 クロスサイトスクリプティングとブログパーツ # goo や livedoor、fc2 などのホスティングを含めたブログサービスを使ったことのある方はご存知と思いますが、サービスによってブログパーツが貼れるもの、貼れないもの、一部だけ許可しているものがあります。なぜでしょうか? Cookie には同一ドメインから実行されたスクリプトしか参照できないという特徴があります。これを利用して、Cookie をセッション情報や閲覧履歴の保存場所として活用しているサービスは少なくありません。上記ブログサービスがブログパーツを許可しないのは、これらの情報を悪意のある JavaScript から守るためです。逆に言うと、
