10
Meteor.js框架已經處理了針對CSRF和XSS攻擊的措施嗎?如果不是,我們必須考慮哪些其他預防措施?Meteor.js和CSRF/XSS攻擊
A
回答
15
流星的頁面渲染引擎在處理數據綁定時處理轉義特殊符號,從而避免非常基本的XSS攻擊。此外,Meteor還提供非常易於使用的API來控制瀏覽器策略(http://docs.meteor.com/#browserpolicy),例如取景選項或內容策略選項。
值得一提的是check和audit-argument-checks軟件包 - 這些軟件包可以幫助您根據用戶輸入的類型來驗證用戶輸入以防止MongoDB注入。
在Meteor中不可能發生CSRF攻擊,因爲框架本身根本不使用cookie,並且更喜歡HTML5 localStorage,這很難欺騙。
對於高級帳戶權限,請檢查meteor-roles包:https://atmospherejs.com/alanning/roles,您可以手動執行所有這些操作,但該軟件包很好(但它不是核心的一部分)。
查看此頁面以瞭解更多信息:http://security-resources.meteor.com/。
此外,Emily Stark,流星核心開發流星談到了很多關於安全以及它如何幫助你在你的應用程序獲得控制權安全性:
相關問題
- 1. HTTPS和MITM攻擊
- 2. 防止Javascript和XSS攻擊
- 3. AJAX XSS攻擊和.Net MVC
- 4. CSRF攻擊和餅乾
- 5. WCF服務和POODLE攻擊
- 6. 攻擊HTML和Javascript文件
- 7. SQL注入攻擊和django
- 8. Erlang和SQL注入攻擊
- 9. 檢查物品和攻擊
- 10. Spring Security和CSRF攻擊
- 11. 如何應對攻擊xmlrpc.php攻擊
- 12. 跨站點腳本攻擊(xss)攻擊
- 13. Nhibenate-DOS攻擊
- 14. 字典攻擊
- 15. 蠻力攻擊
- 16. XHR攻擊
- 17. 攻擊堆棧
- 18. ACUNETIX - 登錄頁面密碼猜測攻擊 - 蠻力攻擊和帳戶鎖定
- 19. Meteor.js和npm
- 20. Meteor.js和LDAP
- 21. 堆溢出攻擊
- 22. 線性化攻擊
- 23. SQL注入攻擊
- 24. 可能的攻擊
- 25. MySQL蠻力攻擊
- 26. XSS攻擊防護
- 27. Bruteforce攻擊項目
- 28. 如何攻擊RC4
- 29. PHP包含攻擊
- 30. 嘗試攻擊mysql?
Emily Stark在Github的演講非常好。她解釋說,因爲流星不使用cookies,所以CSRF攻擊是不可能的。演講的這一部分在上面鏈接的視頻的10:30開始。 –
感謝您的信息。似乎沒有人關心流星的安全。他們只是想構建應用程序,但我不願意看到一些審計。 :) –
@JoshuaMichael好,我們在乎 – imslavko