标签：mongodb security meteor javascript

我正在使用Meteor,并且担心可能存在的安全漏洞.我只希望用户能够创建修改数据库中的某些字段.对于此示例,我唯一希望他们能够创建或更新的是派对的名称和描述字段.

Parties.allow({
  insert: function (userId, party) {
    return userId && party.owner === userId;
  },
  update: function (userId, party, fields, modifier) {
    return userId && party.owner === userId;
  },
});

这是我在Angular Meteor教程中看到的代码,但是看起来有人可以使用Minimongo在浏览器的控制台中添加他们想要的任何字段.有没有一种方法可以轻松定义可以确定的字段,并拒绝所有不使用这些字段的插入和更新？我可以编写一个简单的函数来进行更新：

function ensureFieldsAreOk(acceptableFields,fieldsInQuestion){
    for(i = 0; i < fieldsInQuestion.length; ++i){
        if(acceptableFields.indexOf(fieldsInQuestion[i]) === -1){
           console.log("Hacking attempt detected");
           return false;
        }
    }
    return true;
}

为此,对于插入命令,我可以使用Object.keys(party)作为可接受字段列表的功能.

我无法想象我是第一个想到这个的人.必须有一种标准的处理方法.

解决方法:

要限制与集合关联的字段,可以使用https://atmospherejs.com/aldeed/simple-schema和https://atmospherejs.com/aldeed/collection2

您可以定义字段,字段的类型,默认值和许多其他选项.

为了确保用户只能更新特定字段,可以使用更新允许/拒绝规则中的fieldNames属性进行检查：

update: function (userId, doc, fieldNames, modifier) { 
    // check fieldNames here.
}

标签：mongodb,security,meteor,javascript
来源： https://codeday.me/bug/20191119/2039003.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。