我正在使用独立的火焰来动态渲染模板。到目前为止,我最喜欢它,它能够快速完成细粒度的dom更新。
我现在要说明的是如何处理我通过ajax下载模板的情况,并且需要使用blaze来解析它,以便我可以将它注入我的前端。
我这样做的原因是我不希望在适当的用户登录之前下载需要身份验证的SPA部分的模板。例如,管理员页面永远不会为普通用户下载。
不要打扰告诉我我的安全性是错误的,我已经在使用每个API请求的零信任模型,但我想要的是另一种方式的零信任模型,如果你没有经过身份验证,你甚至没有看到模板。
答案 0 :(得分:0)
我遇到了一个可能的替代解决方案,只是侧面解决了这个问题。
我的问题是我不想在dom检查员中看到管理页面和其他模板。我根本不想加载它们,但我还没有解决这个问题。
但我发现,一旦Blaze加载模板,您就可以从dom中删除实际的模板代码,而blaze仍会正确渲染它们。
这至少可以让我对这些东西进行模糊处理。一个有进取心的黑客仍然可以通过监控网络流量来获取这些模板,但至少它们不是公开的。
使用此方法的正确安全性仍然要求客户端代码被缩小和混淆,最好由服务器上的ACL稍微保护,并调用使用某种形式的ACL验证的API。