微信公众号搜"智元新知"关注
微信扫一扫可直接关注哦!

javascript-如何只允许在Meteor中插入和更新某些文档字段?

我正在使用Meteor,并且担心可能存在的安全漏洞.我只希望用户能够创建修改数据库中的某些字段.对于此示例,我唯一希望他们能够创建或更新的是派对的名称和描述字段.

Parties.allow({
  insert: function (userId, party) {
    return userId && party.owner === userId;
  },
  update: function (userId, party, fields, modifier) {
    return userId && party.owner === userId;
  },
});

这是我在Angular Meteor教程中看到的代码,但是看起来有人可以使用Minimongo在浏览器的控制台中添加他们想要的任何字段.有没有一种方法可以轻松定义可以确定的字段,并拒绝所有不使用这些字段的插入和更新?我可以编写一个简单的函数来进行更新:

function ensureFieldsAreOk(acceptableFields,fieldsInQuestion){
    for(i = 0; i < fieldsInQuestion.length; ++i){
        if(acceptableFields.indexOf(fieldsInQuestion[i]) === -1){
           console.log("Hacking attempt detected");
           return false;
        }
    }
    return true;
}

为此,对于插入命令,我可以使用Object.keys(party)作为可接受字段列表的功能.

我无法想象我是第一个想到这个的人.必须有一种标准的处理方法.

解决方法:

要限制与集合关联的字段,可以使用https://atmospherejs.com/aldeed/simple-schemahttps://atmospherejs.com/aldeed/collection2

您可以定义字段,字段的类型,认值和许多其他选项.

为了确保用户只能更新特定字段,可以使用更新允许/拒绝规则中的fieldNames属性进行检查:

update: function (userId, doc, fieldNames, modifier) { 
    // check fieldNames here.
}

版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。

相关推荐