我正在使用Meteor,并且担心可能存在的安全漏洞.我只希望用户能够创建修改数据库中的某些字段.对于此示例,我唯一希望他们能够创建或更新的是派对的名称和描述字段.

Parties.allow({
  insert: function (userId, party) {
    return userId && party.owner === userId;
  },
  update: function (userId, party, fields, modifier) {
    return userId && party.owner === userId;
  },
});

这是我在Angular Meteor教程中看到的代码,但是看起来有人可以使用Minimongo在浏览器的控制台中添加他们想要的任何字段.有没有一种方法可以轻松定义可以确定的字段,并拒绝所有不使用这些字段的插入和更新？我可以编写一个简单的函数来进行更新：

function ensureFieldsAreOk(acceptableFields,fieldsInQuestion){
    for(i = 0; i < fieldsInQuestion.length; ++i){
        if(acceptableFields.indexOf(fieldsInQuestion[i]) === -1){
           console.log("Hacking attempt detected");
           return false;
        }
    }
    return true;
}

为此,对于插入命令,我可以使用Object.keys(party)作为可接受字段列表的功能.

我无法想象我是第一个想到这个的人.必须有一种标准的处理方法.

解决方法:

要限制与集合关联的字段,可以使用https://atmospherejs.com/aldeed/simple-schema和https://atmospherejs.com/aldeed/collection2

您可以定义字段,字段的类型,默认值和许多其他选项.

为了确保用户只能更新特定字段,可以使用更新允许/拒绝规则中的fieldNames属性进行检查：

update: function (userId, doc, fieldNames, modifier) { 
    // check fieldNames here.
}