我在文档中读到了这个:
无处不在的数据库。使用相同的透明 API 从客户端或服务器访问您的数据库。
这很好,但我认为存在一些安全问题。在客户端提供对数据库的完全和透明的访问,您会暴露给不良用户,这些用户会修改您的 JS 代码(实际上是在他的浏览器中,他可以做到)并添加任何可以检索/删除/更新数据的数据库操作可能是明智的。
如果我错了,请纠正我。谢谢!
我在文档中读到了这个:
无处不在的数据库。使用相同的透明 API 从客户端或服务器访问您的数据库。
这很好,但我认为存在一些安全问题。在客户端提供对数据库的完全和透明的访问,您会暴露给不良用户,这些用户会修改您的 JS 代码(实际上是在他的浏览器中,他可以做到)并添加任何可以检索/删除/更新数据的数据库操作可能是明智的。
如果我错了,请纠正我。谢谢!
你是对的。开发人员目前正在处理身份验证和安全问题。到目前为止,一切都是开放的,非常适合创建原型和测试应用程序,但是它们很容易受到用户随意检索/删除/更新数据的攻击。
在此处查看开发人员对此问题的回复:链接
通过删除不安全和自动发布的包来保护您的应用程序:
meteor remove insecure autopublish