Codice METEOR XSS Tamering
Domanda
La mia principale preoccupazione è la seguente:
- .
-
Poiché Meteor si basa su JavaScript, può essere modificato / manomesso @ lato client, quindi cosa succede se cambio o creo nuove raccolte e iniziare a spam, il DB sarà solo il lato client (solo la memoria)o su entrambi i lati cioè: anche lato server.
-
L'ingresso utente è pulito da XSS prima di salvare nel lato server?.
Soluzione
Se si crea una nuova raccolta sul lato client, il server non avrà alcuna conoscenza di questo e non creerà anche le cose necessarie per modificare il lato del server del database.I dati spamming saranno solo nella memoria laterale del client.
Trees = new Meteor.Collection("boom");
Meteor.Collection
Trees.insert({hi:"hi"});
"4b0d5ff2-058c-4041-849b-ce2e0d548160"
logging.js:30: insert failed: 404 -- Method not found
. Autorizzato sotto: CC-BY-SA insieme a attribuzione
Non affiliato a StackOverflow