mối quan tâm chính của tôi là như sau:sao băng đang XSS giả mạo
từ thiên thạch được dựa trên JavaScript, nó có thể được thay đổi/giả mạo @ phía khách hàng, vì vậy những gì sẽ xảy ra nếu tôi thay đổi hoặc tạo ra bộ sưu tập mới và bắt đầu để spam db, nó sẽ chỉ là @ client side (bộ nhớ duy nhất) hoặc trên cả hai phía, ví dụ: phía máy chủ.
đầu vào của người dùng có được làm sạch từ xss trước khi lưu ở phía máy chủ không?
Nếu bạn tạo bộ sưu tập mới ở phía máy khách, máy chủ sẽ không biết điều này và cũng không tạo nội dung cần thiết để chỉnh sửa phía máy chủ cơ sở dữ liệu. Dữ liệu được gửi spam sẽ chỉ nằm trong bộ nhớ phía máy khách.
Trees = new Meteor.Collection("boom");
Meteor.Collection
Trees.insert({hi:"hi"});
"4b0d5ff2-058c-4041-849b-ce2e0d548160"
logging.js:30: insert failed: 404 -- Method not found
điều này là chính xác và để làm rõ thêm nó không có kiến thức bởi vì nó chưa đăng ký. Trừ khi bạn bắt đầu giả mạo với một bộ sưu tập đã đăng ký hiện tại, không có gì để ngăn chặn điều này xảy ra. – Adgezaza
vì vậy để ngăn chặn ủ với bộ sưu tập đã đăng ký, chúng ta nên quản lý các phần quan trọng bằng cách khóa các phương thức trợ giúp cơ sở dữ liệu @ phía máy chủ như được hiển thị trong [brito] (http://britto.co/blog/security_with_meteor) . : 'Meteor.startup (function() { _.each ([/ ** tên bộ sưu tập ** /], chức năng (bộ sưu tập) { _.each (['insert', 'update', ' xóa '], chức năng (phương pháp) { Meteor.default_server.method_handlers [' /' + thu + '/' + phương pháp] = function() {}; }); }); }); ' Cảm ơn tất cả. –
Tôi cũng muốn biết điều này - Tôi đã duyệt trang web một chút và dừng lại một chút khi đọc rằng mọi thứ * được thực hiện trong js. Không phải là tôi có bất cứ điều gì chống lại điều đó, nhưng tôi chỉ thích ít nhất một smidge an ninh phía máy chủ để ngủ ngon vào ban đêm. –
Tôi khá chắc chắn "Mọi thứ được thực hiện trong JS có nghĩa là" từ một quan điểm ngôn ngữ. Vẫn có sự tách biệt giữa phía máy chủ và phía máy khách. –