【发布时间】:2016-10-08 13:32:51
【问题描述】:
在我过去几周学习 Meteor 的过程中,试图构建一个简单的 crud 并经过一些验证,我偶然发现了一些东西。
直到今天,我一直试图将我的 Collection Schema 保留在服务器端,并且在客户端呈现 Schemas 服务器验证时遇到了一些困难,所以我添加了 aldeed:autoform。
当我开始使用 autoform 时,在出现一些错误后,我惊讶地发现必须在客户端定义一个 Collection 的 Schema 才能正常工作。
这看起来是不是有点危险?您的集合的架构是否应该在客户端上发布?
这可能是一个愚蠢的问题,我不确定。我会提前道歉:D
【问题讨论】:
-
我不这么认为。如果你没有使用 autoform,你会有一些代码提供表单验证,它会告诉黑客哪些项目是必需的。我不认为这意味着它是一个安全漏洞
-
但是提供验证的代码在服务器端是“安全的”,而不是在客户端,这会暴露潜在的敏感信息。