也许是一个模棱两可的问题,但我听到很多人批评 Meteor“不安全”。
我注意到默认情况下它似乎镜像了从服务器到客户端的几乎所有信息,但是删除 insecure
包似乎可以很好地解决这个问题。
Meteor 的哪些方面被认为是不安全的?事实上,它是不安全的吗?
最佳答案
对于初学者来说,还有一个包autopublish
,它发布数据库中可供所有客户端使用的所有内容。你也应该删除它。
当您考虑这两个软件包时,您可能会开始理解为什么人们认为 Meteor 不安全。
但是也存在一些其他问题。
一件大事是 file structure 。您必须理解它才能防止泄露您的所有源代码。简而言之,所有不在 /server
或 /private
中的代码都是完全公开的,并加载到 index.html
中。即使它不包含任何 key 或密码,分发所有源代码仍然存在风险。
这没有任何来源,但您可以说 Meteor 不鼓励您信任它。考虑到上述事实以及它本身所做的所有事情,您可能会感觉它可能会做一些使其脆弱的事情。不过,据我所知,Meteor 不存在重大安全问题。
关于javascript - 为什么 meteor 会被认为是不安全的?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/29221214/