Meteor - Sicurezza
In questo capitolo impareremo come proteggere la nostra app e cosa dovrebbe essere preso in considerazione durante lo sviluppo di un'app.
Pubblicazione automatica e protezione automatica
Autopublishè un pacchetto che pubblica automaticamente tutti i dati dal database al client. Questa è una comodità che dovrebbe essere disabilitata durante la produzione. Può essere disabilitato dal prompt dei comandi.
C:\Users\username\Desktop\meteorApp>meteor remove autopublishPuoi pubblicare alcuni dati sul client utilizzando Meteor.publish() e Meteor.subscribe() metodi che tratteremo nel capitolo Pubblica e Sottoscrivi.
Insecureè un pacchetto che consente di scrivere i comandi di MongoDB nella console dello sviluppatore, in modo che ogni utente dell'app possa accedere al database. Il pacchetto può essere rimosso eseguendo il seguente comando nel prompt dei comandi.
C:\Users\username\Desktop\meteorApp>meteor remove insecureUna buona pratica è rimuovere entrambi i pacchetti non appena inizi a sviluppare l'app, in modo da non dover modificare e aggiornare il codice in un secondo momento.
Usa metodi lato server
Dovresti sempre creare i tuoi metodi sul server. Puoi farlo usando ilMeteor.methods() sul server e Meteor.call()sul client. Impareremo di più su questo nel capitolo Metodi.
Sicurezza aggiuntiva
Se desideri aggiungere ulteriori livelli di sicurezza alla tua app, dovresti considerare l'utilizzo di altri pacchetti Meteor come:
È possibile utilizzare i criteri del browser per controllare le risorse esterne da caricare nella tua app.
Check package può essere utilizzato per controllare i tipi di input dell'utente prima che vengano elaborati.
Audit Arguments Check è un pacchetto che garantirà che tutti i parametri vengano controllati correttamente prima dell'elaborazione. Se hai perso alcuni parametri, questo pacchetto ti informerà.
I pacchetti Mylar possono aggiungere alcuni livelli aggiuntivi di sicurezza. Puoi controllarli se hai bisogno di quel tipo di protezione.