ims*_*vko 15
Meteor的页面呈现引擎在处理数据绑定时负责转义特殊符号,从而避免了非常基本的XSS攻击.此外流星提供了非常易于使用的API来控制浏览器策略(http://docs.meteor.com/#browserpolicy)如框架选项或内容的政策选择.
值得一提的是这些check和audit-argument-checks包 - 它们可以帮助您根据类型验证用户输入,以防止MongoDB注入.
在Meteor中不可能进行CSRF攻击,因为框架本身根本不使用cookie,而更喜欢HTML5 localStorage,它更难以欺骗.
对于高级帐户权限,请查看meteor-roles包:https://atmospherejs.com/alanning/roles,您可以手动实现所有这些,但包装已经很好地保留(尽管它不是核心的一部分).
有关更多信息,请参阅此页面:http://security-resources.meteor.com/.
此外,Emily Stark,Meteor Core Dev对Meteor中的安全性以及它如何帮助您控制应用程序中的安全性进行了大量讨论: