Атаки Meteor.js и CSRF/XSS

Является ли среда Meteor.js уже обрабатывает меры против атак CSRF и XSS? Если нет, то какие другие меры предосторожности мы должны принимать во внимание?

Ответ 1

Механизм рендеринга страниц Meteor заботится об экранировании специальных символов при работе с привязками данных, которые сохраняются при использовании очень простых атак XSS. Кроме того, Meteor предоставляет очень простые в использовании API-интерфейсы для управления политикой браузера (http://docs.meteor.com/#browserpolicy), например, параметры кадрирования или параметры политики контента.

Следует упомянуть пакеты check и audit-argument-checks - это поможет вам проверить пользовательские входы основаны на их типах для предотвращения инъекций MongoDB.

Атаки CSRF в Meteor невозможны, так как сама фреймворк вообще не использует файлы cookie и предпочитает HTML5 localStorage, который намного сложнее подделать.

Для расширенных разрешений учетных записей, проверьте пакет метеорных ролей: https://atmospherejs.com/alanning/roles, вы можете реализовать все это вручную, но пакет хорошо сохранен (хотя это а не часть ядра).

См. эту страницу для получения дополнительной информации: http://security-resources.meteor.com/.

Кроме того, Эмили Старк, Meteor Core Dev много говорила о безопасности в Meteor и о том, как она поможет вам получить контроль над безопасностью в вашем приложении: