Meteor-セキュリティ

この章では、アプリを保護する方法と、アプリを開発する際に考慮すべき点について学習します。

自動公開と自動保護

Autopublishデータベースからクライアントにすべてのデータを自動的に公開するパッケージです。これは、本番環境では無効にする必要がある便利な機能です。コマンドプロンプトから無効にすることができます。

C:\Users\username\Desktop\meteorApp>meteor remove autopublish

を使用して、一部のデータをクライアントに公開できます。 Meteor.publish() そして Meteor.subscribe() パブリッシュおよびサブスクライブの章で説明するメソッド。

Insecureは、MongoDBコマンドを開発者のコ​​ンソールに記述できるようにするパッケージであり、アプリのすべてのユーザーがデータベースにアクセスできるようにします。パッケージは、コマンドプロンプトで次のコマンドを実行することで削除できます。

C:\Users\username\Desktop\meteorApp>meteor remove insecure

アプリの開発を開始したらすぐに両方のパッケージを削除することをお勧めします。これにより、後でコードを変更および更新する必要がなくなります。

サーバー側の方法を使用する

常にサーバー上にメソッドを作成する必要があります。あなたはそれを使用してそれを行うことができますMeteor.methods() サーバー上で Meteor.call()クライアントで。これについては、メソッドの章で詳しく説明します。

追加のセキュリティ

アプリにセキュリティのレイヤーを追加する場合は、-などの他のMeteorパッケージの使用を検討する必要があります。

  • ブラウザポリシーを使用して、アプリに読み込む必要のある外部リソースを制御できます。

  • チェックパッケージを使用して、ユーザー入力タイプを処理する前にチェックできます。

  • Audit Arguments Checkは、処理前にすべてのパラメーターが正しくチェックされていることを確認するパッケージです。一部のパラメータを見逃した場合は、このパッケージで通知されます。

  • マイラーパッケージは、セキュリティのいくつかの追加レイヤーを追加できます。そのような保護が必要な場合は、それらをチェックすることができます。