8

我在文档中读到了这个:

无处不在的数据库。使用相同的透明 API 从客户端或服务器访问您的数据库。

这很好,但我认为存在一些安全问题。在客户端提供对数据库的完全和透明的访问,您会暴露给不良用户,这些用户会修改您的 JS 代码(实际上是在他的浏览器中,他可以做到)并添加任何可以检索/删除/更新数据的数据库操作可能是明智的。

如果我错了,请纠正我。谢谢!

4

3 回答 3

5

你是对的。开发人员目前正在处理身份验证和安全问题。到目前为止,一切都是开放的,非常适合创建原型和测试应用程序,但是它们很容易受到用户随意检索/删除/更新数据的攻击。

在此处查看开发人员对此问题的回复:链接

于 2012-04-11T18:01:08.070 回答
3

Meteor 现在包括对客户端数据库写入(allowdeny)的限制以及完整的用户帐户系统

于 2012-12-14T01:16:35.343 回答
2

通过删除不安全和自动发布的包来保护您的应用程序:

meteor remove insecure autopublish
于 2013-06-20T15:52:55.617 回答