出于安全原因,我想问一下 - 我们应该能够从页面源部分的 meteor_runtime_config 部分和其他 headless 浏览器/curl 请求中删除 meteor 版本信息,如下所示:
__meteor_runtime_config__ = {"meteorRelease":"METEOR@1.0.3.1"...
特别是为了不利用已知的漏洞。这让开发人员有时间 catch 新版本,尤其是对代码进行重大更改时。
这里来自blog post早在 2014 年,就有 31 个应用程序被报告删除了版本号,所以这样做是可能的。
最佳答案
一个技巧是清空__meteor_runtime_config__.meteorRelease
在启动阶段。
Meteor.startup( function() {
__meteor_runtime_config__.meteorRelease = undefined;
});
您还可以删除分配给 meteorRelease
的字符串在 <application>/bundle/programs/server/config.json
在部署应用程序之前。该信息是从 Meteor 在构建应用程序时生成的配置文件中提取的。
关于javascript - Meteor - 如何隐藏使用的 meteor 版本,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/38272284/