Является ли среда Meteor.js уже обрабатывает меры против атак CSRF и XSS? Если нет, то какие другие меры предосторожности мы должны принимать во внимание?
Атаки Meteor.js и CSRF/XSS
Ответ 1
Механизм рендеринга страниц Meteor заботится об экранировании специальных символов при работе с привязками данных, которые сохраняются при использовании очень простых атак XSS. Кроме того, Meteor предоставляет очень простые в использовании API-интерфейсы для управления политикой браузера (http://docs.meteor.com/#browserpolicy), например, параметры кадрирования или параметры политики контента.
Следует упомянуть пакеты check
и audit-argument-checks
- это поможет вам проверить пользовательские входы основаны на их типах для предотвращения инъекций MongoDB.
Атаки CSRF в Meteor невозможны, так как сама фреймворк вообще не использует файлы cookie и предпочитает HTML5 localStorage, который намного сложнее подделать.
Для расширенных разрешений учетных записей, проверьте пакет метеорных ролей: https://atmospherejs.com/alanning/roles, вы можете реализовать все это вручную, но пакет хорошо сохранен (хотя это а не часть ядра).
См. эту страницу для получения дополнительной информации: http://security-resources.meteor.com/.
Кроме того, Эмили Старк, Meteor Core Dev много говорила о безопасности в Meteor и о том, как она поможет вам получить контроль над безопасностью в вашем приложении: