Учебники

Метеор — Безопасность

В этой главе мы узнаем, как защитить наше приложение и что следует учитывать при разработке приложения.

Автопубликация и Автобезопасность

Autopublish — это пакет, который автоматически публикует все данные из базы данных для клиента. Это удобство, которое должно быть отключено при работе. Его можно отключить из командной строки.

C:\Users\username\Desktop\meteorApp>meteor remove autopublish

Вы можете опубликовать некоторые данные на клиенте, используя методы Meteor.publish () и Meteor.subscribe (), которые мы рассмотрим в главе «Публикация и подписка» .

Небезопасный — это пакет, который позволяет записывать команды MongoDB в консоли разработчика, чтобы каждый пользователь приложения мог получить доступ к базе данных. Пакет можно удалить, выполнив следующую команду в командной строке.

C:\Users\username\Desktop\meteorApp>meteor remove insecure

Хорошей практикой является удаление обоих пакетов, как только вы начнете разрабатывать свое приложение, чтобы вам не приходилось позже изменять и обновлять код.

Используйте методы на стороне сервера

Вы всегда должны создавать свои методы на сервере. Вы можете сделать это, используя Meteor.methods () на сервере и Meteor.call () на клиенте. Мы узнаем больше об этом в главе «Методы».

Дополнительная безопасность

Если вы хотите добавить дополнительные уровни безопасности в свое приложение, вам следует рассмотреть возможность использования некоторых других пакетов Meteor, таких как —

Политику браузера можно использовать для управления внешними ресурсами, которые должны быть загружены в ваше приложение.

Проверить пакет можно использовать для проверки пользовательских типов ввода перед их обработкой.

Audit Arguments Check — это пакет, который обеспечит правильную проверку всех параметров перед обработкой. Если вы пропустили некоторые параметры, этот пакет сообщит вам.

Пакеты майлара могут добавить некоторые дополнительные уровни безопасности. Вы можете проверить их, если вам нужна такая защита.