避免Meteor集合更新的安全风险:通过Meteor.methods真实

时间:2014-12-11 04:18:46

标签: javascript security collections meteor

让我们说我正在编写一个需要更新集合中多个记录的反应式集合小部件;例如,网格将更新"已检查"用户操作导致多条记录的状态。

问题是,Meteor doesn't let you run Collection.update(..., ..., {multi:true})

  

不受信任的代码只能一次修改单个文档

当然,我可以在Collection.find()结果上做一个forEach,但效率很低。

另一个问题是,窗口小部件必然会将集合作为参数。创建Meteor.method"更新"将集合名称作为参数会带来安全风险,因为恶意用户可以传入任意集合名称。

从客户端和why doesn't Meteor allow this更新多个记录的更好方法是什么,因为它比在此方案中强制开发人员定义可利用的方法(任意集合)风险更小?

0 个答案:

没有答案