9
我主要關注的是以下幾點:流星XSS代碼篡改
由於流星是基於JavaScript的,它是可以改變/篡改@客戶端,所以如果我更改或創建新的集合和開始發生垃圾郵件的數據庫將只有@客戶端(僅限內存)或雙方,即:服務器端也。
用戶輸入是否在保存在服務器端之前從xss中清除?
A
回答
3
如果創建客戶端上的一個新的集合,該服務器將不具備這方面的知識,也不會創造必要的東西,編輯數據庫服務器端。垃圾郵件數據只會在客戶端內存中。
Trees = new Meteor.Collection("boom");
Meteor.Collection
Trees.insert({hi:"hi"});
"4b0d5ff2-058c-4041-849b-ce2e0d548160"
logging.js:30: insert failed: 404 -- Method not found
+0
這是正確的,並進一步澄清它沒有知識,因爲它沒有訂閱。除非你開始篡改現有的訂閱集合,否則沒有什麼可以阻止這種情況發生。 – Adgezaza 2012-07-26 19:10:30
+2
所以爲了防止用訂閱集合調試,我們應該通過鎖定數據庫幫助器方法@服務器端來管理關鍵部分,如[brito](http://britto.co/blog/security_with_meteor) 中所示,這應該可以做我猜測的技巧: 'Meteor.startup(函數(){ _.each([/ **集合名稱** /],功能(集合){ _.each([ '插入', '更新','除去 '],功能(方法){ Meteor.default_server.method_handlers ['/」 +收集+ '/' +方法] =函數(){}; }); }); } );' 謝謝大家。 – 2012-07-27 02:09:49
相關問題
- 1. 檢測Java JAR /代碼篡改
- 2. 可以篡改密碼?
- 3. preg_replace on xss代碼
- 4. 流星 - QR代碼生成流星服務器
- 5. 流星:我如何轉換HTML/HTML5代碼以使用流星?
- 6. 誰篡改我的數據流?
- 7. 流星迭代
- 8. 流星Angular2 HTML模板沒有更新的代碼更改
- 9. 如何通過流星會話更改div中的html代碼?
- 10. 流星:禁用熱代碼推
- 11. 流星 - 每頁加載執行代碼
- 12. 流星將不會運行jQuery代碼
- 13. 流星中的模塊代碼
- 14. 流星在Windows上 - 在代碼推
- 15. 流星中的重複代碼
- 16. 流星異步代碼更新視圖
- 17. 流星中的常用登錄代碼
- 18. 記錄所有mysql查詢沒有篡改代碼
- 19. 替代刀片式防篡改
- 20. 密鑰庫密碼被篡改
- 21. Visual Studio的流星幫助程序代碼:什麼是流星項目目錄
- 22. WIX篡改文件
- 23. 的PayPal量篡改
- 24. 更改流星服務器
- 25. 的替代流星客戶
- 26. 流星:帳號密碼
- 27. 流星忘記密碼&sendResetPasswordEmail數據流
- 28. 谷歌Oauth流星流星
- 29. 流星1.4.1.1流星1.4.1.2
- 30. 不能讓流星帳號密碼與流星角2
我也想知道這一點 - 我瀏覽了一下網站並停下了短小的一次,我看到*所有*都是在js中完成的。並不是說我有什麼反對,但我只是喜歡至少一點服務器端的安全性,以便在晚上睡得好。 – 2012-07-26 13:15:14
我很確定從語言的角度來看,「一切都是用JS表達的意思」。服務器和客戶端仍然有分離。 – 2012-07-26 16:28:25