流星xss代码篡改

Question

流星xss代码篡改

我主要关注的是:

由于meteor基于JavaScript,它可以在客户端更改/篡改,所以如果我更改或创建新的集合并开始垃圾邮件数据库会发生什么情况只会是@客户端(仅限内存)或两端,即:服务器端也是.
是否在服务器端保存之前从xss清除了用户输入？

Answer 1

如果您在客户端创建一个新集合，服务器将不知道这一点，也不会创建编辑数据库服务器端所需的内容。垃圾邮件数据只会存在于客户端内存中。

Trees  = new Meteor.Collection("boom");
    Meteor.Collection
Trees.insert({hi:"hi"});
    "4b0d5ff2-058c-4041-849b-ce2e0d548160"
logging.js:30: insert failed: 404 -- Method not found

Run Code Online (Sandbox Code Playgroud)

因此，为了防止对订阅的集合进行调整，我们应该通过锁定数据库辅助方法@服务器端来管理关键部分，如[brito](http://britto.co/blog/security_with_meteor)所示，我猜这应该可以解决问题：` Meteor.startup(function () { _.each([/**集合名称 **/], function(collection) { _.each(['插入', '更新', '删除'], function(方法) { Meteor.default_server.method_handlers['/' + collection + '/' + method] = function() {}; }); }); });` 谢谢大家。 (2认同)

归档时间：	13 年，5 月前
查看次数：	628 次
最近记录：	13 年，5 月前