Meteor.js框架是否已经处理了针对CSRF和XSS攻击的措施?如果没有,我们必须考虑哪些其他预防措施?
答案 0 :(得分:15)
Meteor的页面呈现引擎在处理数据绑定时负责转义特殊符号,这些数据绑定可以避免非常基本的XSS攻击。此外,Meteor还提供了非常易于使用的API来控制浏览器策略(http://docs.meteor.com/#browserpolicy),例如框架选项或内容策略选项。
值得一提的是check和audit-argument-checks软件包 - 它们可以帮助您根据类型验证用户输入,以防止MongoDB注入。
在Meteor中无法进行CSRF攻击,因为框架本身根本不使用cookie,而更喜欢HTML5 localStorage,这更难以欺骗。
对于高级帐户权限,请检查meteor-roles包:https://atmospherejs.com/alanning/roles,您可以手动实现所有这些,但包装已经很好地保留(尽管它不是核心的一部分)。
有关详细信息,请参阅此页面:http://security-resources.meteor.com/。
此外,Emily Stark,Meteor Core Dev对Meteor中的安全性以及它如何帮助您控制应用程序中的安全性提出了很多建议: