javascript-如何只允许在Meteor中插入和更新某些文档字段?
作者:互联网
我正在使用Meteor,并且担心可能存在的安全漏洞.我只希望用户能够创建修改数据库中的某些字段.对于此示例,我唯一希望他们能够创建或更新的是派对的名称和描述字段.
Parties.allow({
insert: function (userId, party) {
return userId && party.owner === userId;
},
update: function (userId, party, fields, modifier) {
return userId && party.owner === userId;
},
});
这是我在Angular Meteor教程中看到的代码,但是看起来有人可以使用Minimongo在浏览器的控制台中添加他们想要的任何字段.有没有一种方法可以轻松定义可以确定的字段,并拒绝所有不使用这些字段的插入和更新?我可以编写一个简单的函数来进行更新:
function ensureFieldsAreOk(acceptableFields,fieldsInQuestion){
for(i = 0; i < fieldsInQuestion.length; ++i){
if(acceptableFields.indexOf(fieldsInQuestion[i]) === -1){
console.log("Hacking attempt detected");
return false;
}
}
return true;
}
为此,对于插入命令,我可以使用Object.keys(party)作为可接受字段列表的功能.
我无法想象我是第一个想到这个的人.必须有一种标准的处理方法.
解决方法:
要限制与集合关联的字段,可以使用https://atmospherejs.com/aldeed/simple-schema和https://atmospherejs.com/aldeed/collection2
您可以定义字段,字段的类型,默认值和许多其他选项.
为了确保用户只能更新特定字段,可以使用更新允许/拒绝规则中的fieldNames属性进行检查:
update: function (userId, doc, fieldNames, modifier) {
// check fieldNames here.
}
标签:mongodb,security,meteor,javascript 来源: https://codeday.me/bug/20191119/2039003.html