如果删除了不安全的软件包,Meteor客户端集合的安全性如何? 如果我存储用于连接客户端集合中的外部资源的auth数据是否安全?
答案 0 :(得分:1)
insecure是一个包,它允许任何用户在没有验证的情况下对数据库进行几乎任何类型的操作(因此它的名称)。它应该绝对从不用于生产,它主要用它来快速原型化应用程序,而不必担心服务器验证。如果您准备好进一步开发应用程序,请将其删除。
您还必须考虑客户端集合是您可以想象的最脏的地方。不要相信客户端发送给您的任何内容,也不要相信所有内容。如果您必须在客户端上存储身份验证数据,请确保一个客户端无法访问其他客户端的敏感数据。
答案 1 :(得分:1)
存储在客户端集合(甚至订阅)中的数据以及存储在 Session 中的数据主要容易受到XSS的攻击。大概你的网站是https,因为如果没有它,帐户包是不安全的。
如果您的客户端正在向外部资源(第三方网站)发出经过身份验证的请求,那么您的任何用户都可以通过在浏览器中检查您的网络请求来确定您的凭据。