我们都知道Meteor提供了允许客户端无缝访问持久层(MongoDB)的miniMongo驱动程序。
如果任何客户端都可以访问持久API,那么如何保护其应用程序呢?
Meteor提供了哪些安全机制,应该在什么情况下使用它们?
发布于 2012-09-21 14:18:36
如果您正在谈论限制客户端不使用任何未经授权的插入/更新/删除API,这是可能的。
在https://github.com/meteor/meteor/tree/171816005fa2e263ba54d08d596e5b94dea47b0d/examples/todos上查看他们的待办事项应用程序
此外,他们现在增加了一个内置的AUTH模块,可以让你登录和注册。所以它是安全的。因为您正在处理XSS、验证、客户机头等。
但你可以随时通过部署到node将meteor应用程序转换为完全正常工作的nodejs应用程序。因此,如果您知道如何保护nodejs应用程序,您应该能够保护meteor。
发布于 2013-07-02 22:58:26
在0.6.4版本中,在开发模式下,is_client和is_server块仍然都转到客户端系统。我不能说当你关闭开发模式时,它们是否是隔离的。
但是,如果它们不是,黑客也许能够通过检查if(Meteor.is_server )代码块来从系统中获得洞察力。这特别让我担心,特别是因为我注意到,在这一点上,我仍然不能将集合分离到客户端和服务器上的单独文件中。
更新
好的,重点是不要将安全相关的代码放在非服务器目录的is_server块中(即-确保它在/server下的某个地方。
我想看看我是不是疯了,因为我不能在客户端和服务器目录中分离客户端和服务器集合。事实上,这是没有问题的。
这是我的测试。这是一个发布/订阅模型的简单示例,似乎工作得很好。http://goo.gl/E1c56
https://stackoverflow.com/questions/10099843
复制相似问题