1

如果您关闭自动发布。客户端 Meteor.users 集合的防篡改和安全性如何?

我的实验表明它是防篡改的。我已经尝试在控制台上编写客户端脚本来插入、更新和删除并获得 403 错误。

例如,您可以尝试这个,使用您的用户集合 ID 之一,然后 $push 或 $set 的东西。您也可以尝试删除和插入。

Meteor.users.update({_id: "72277b27-3a53-4aa3-82b7-fb096060a8dc"}, {$set: {foo:'bar'}})

或者

Meteor.users.insert({this:'that'})

或者

Meteor.users.remove({_id: "72277b27-3a53-4aa3-82b7-fb096060a8dc"})

你应该在所有这些上得到一个 403。

但它的防篡改和安全性如何?

谢谢斯蒂夫

4

1 回答 1

1

鉴于 Meteor.users 在 auth 分支上是新鲜的,而不是官方版本的一部分,我认为它可能存在错误(顺便说一下,如果你发现了,你应该报告)。

话虽如此,鉴于它是身份验证系统的一部分,它的设计目标似乎是防篡改和安全。

于 2012-08-02T00:40:23.537 回答