用户可以编辑Meteor模板助手中的代码吗?

时间:2016-01-13 15:33:46

标签: meteor

我希望根据登录用户的权限显示部分页面。我的模板看起来像:

{{#if hasPermissions permission="SectionA"}}
Section A code...
{{/if}}

{{#if hasPermissions permission="SectionB"}}
Section B code...
{{/if}}

我的模板助手将包含一个名为hasPermission的方法,该方法将permission作为参数。对于用户是否具有权限,该方法的结果将是布尔值true / false。

我需要知道的是,最终用户是否能够在客户端编辑hasPermissions代码或打开断点并在发回之前更改结果?用户无法破解客户端代码以允许他们查看不允许查看的内容,这一点非常重要。

如果是用户可以编辑代码的情况 - 根据权限实现显示页面部分的方法是什么?

1 个答案:

答案 0 :(得分:1)

您应始终检查服务器端上的权限,以便仅将允许的数据推送到客户端。

然后,无论客户端代码是否被黑客入侵,您的模板都可能显示允许的用户会看到的“空壳”,但他/她不会看到任何数据。

在像Meteor这样的单页应用中,没有多少选择;有人可能能够显示模板黑客攻击,但只要模板本身没有数据就没用,黑客攻击客户端代码只会浪费时间。