【发布时间】:2015-03-03 08:45:09
【问题描述】:
如果删除不安全的包,Meteor 客户端集合的安全性如何?
如果我将用于连接到外部资源的身份验证数据存储在客户端集合中,是否安全?
【问题讨论】:
标签: meteor
如果删除不安全的包,Meteor 客户端集合的安全性如何?
如果我将用于连接到外部资源的身份验证数据存储在客户端集合中,是否安全?
【问题讨论】:
标签: meteor
insecure 是一个包,它允许任何用户对数据库进行几乎任何类型的操作而无需验证(因此得名)。它绝对应该从不在生产中使用,它的主要用途是快速制作应用程序原型,而不必担心服务器验证。如果您准备好进一步开发应用程序,只需将其删除即可。
您还必须将客户端集合视为您可以想象的最脏的地方。不要相信客户发送给您或所做的任何事情,验证一切。如果您必须在客户端存储身份验证数据,请完全确保一个客户端无法访问另一个客户端的敏感数据。
【讨论】:
存储在客户端集合(甚至订阅)中的数据以及存储在 Session 中的数据主要易受 XSS 攻击。大概您的网站是 https,因为没有它,帐户包是不安全的。
如果您的客户端向外部资源(第三方网站)发出经过身份验证的请求,那么您的任何用户都可以通过在浏览器中检查您的网络请求来确定您的凭据。
【讨论】: