Meteor - 安全性



在本章中,我们将学习如何保护我们的应用程序以及在开发应用程序时应考虑的事项。

自动发布和自动安全

自动发布是一个自动将数据库中的所有数据发布到客户端的包。这是一种便利,在生产环境中应该禁用。它可以通过命令提示符禁用。

C:\Users\username\Desktop\meteorApp>meteor remove autopublish

您可以使用Meteor.publish()Meteor.subscribe()方法将一些数据发布到客户端,我们将在“发布和订阅”章节中介绍这些方法。

不安全是一个允许在开发者控制台中编写 MongoDB 命令的包,以便应用程序的每个用户都能访问数据库。可以通过在命令提示符下运行以下命令来删除该包。

C:\Users\username\Desktop\meteorApp>meteor remove insecure

最佳实践是在您开始开发应用程序时立即删除这两个包,这样您以后就不必更改和更新代码了。

使用服务器端方法

您应该始终在服务器上创建方法。您可以通过在服务器上使用Meteor.methods()并在客户端上使用Meteor.call()来实现。我们将在方法章节中详细了解这一点。

其他安全措施

如果您想为您的应用程序添加其他安全层,您应该考虑使用一些其他 Meteor 包,例如:

  • 浏览器策略可用于控制应加载到应用程序的外部资源。

  • 检查包可用于在处理用户输入类型之前检查它们。

  • 审计参数检查是一个包,它将确保在处理所有参数之前正确检查它们。如果您错过了某些参数,此包将通知您。

  • Mylar包可以添加一些额外的安全层。如果您需要这种保护,可以查看它们。

广告