我刚看到a package,为了正常运行,请您在settings.json的公共部分放置一些东西。这让我想知道那里的其他信息(有时是合理的,如AWS键)是否也可以访问。
那么,我是否应该担心这个问题,还是Meteor会从包中隐藏这些信息?
答案 0 :(得分:4)
您从任何软件包管理器(包括NPM,Ruby Gems和Meteor软件包服务器)安装的任何软件包都可以作为您的用户在您的计算机上运行任意代码,包括使用fs模块读取和写入文件,访问网络发送和接收数据等
事实上,每当您从互联网安装应用程序时,您都会对开发人员产生同样的信任 - 您计算机上的任何应用程序几乎都可以读取您的settings.json文件,例如Dropbox,Chrome等。
因此,无法从包代码中完全保护settings.json文件。确保软件包安全的唯一方法是仅使用社区批准的软件包或阅读您正在使用的软件包的源代码。