Является ли среда Meteor.js уже обрабатывает меры против атак CSRF и XSS? Если нет, то какие другие меры предосторожности мы должны принимать во внимание?Атаки Meteor.js и CSRF/XSS
ответ
Механизм рендеринга страницы Meteor позаботится об экранировании специальных символов при работе с привязками данных, которые сохраняются при использовании очень простых атак XSS. Кроме того, Meteor предоставляет очень простые в использовании API-интерфейсы для управления политикой браузера (http://docs.meteor.com/#browserpolicy), такими как параметры кадрирования или параметры политики содержимого.
Следует упомянуть пакеты check
и audit-argument-checks
- они помогают вам проверять входные данные пользователя на основе их типов, чтобы предотвратить инъекции MongoDB.
Атаки CSRF в Meteor невозможны, так как сама фреймворк не использует файлы cookie вообще и предпочитает HTML5 localStorage, который намного сложнее обмануть.
Для расширенных разрешений учетных записей, проверьте пакет метеорных ролей: https://atmospherejs.com/alanning/roles, вы можете реализовать все это вручную, но пакет хорошо сохранен (хотя он не является частью ядра).
См. Эту страницу для получения дополнительной информации: http://security-resources.meteor.com/.
Кроме того, Emily Stark, Метеор Ядро Дев много говорили о безопасности в Метеоре, и как это поможет вам получить контроль над безопасностью в приложении:
- 1. Атаки XSS и PHP
- 2. Meteor.js и Google Maps
- 3. Select2 и Meteor.js как?
- 4. Meteor.js: Deps.autorun и подписки
- 5. Приложения Meteor.js и API
- 6. Совместимость Meteor.js и Mongoose
- 7. Meteor.js Публикация и подписка?
- 8. какие различные PHP атаки и как защитить для атаки
- 9. Службы WCF и атаки POODLE
- 10. SQL Injection и возможные атаки
- 11. Аутентификация RSA и атаки CSRF
- 12. Node.js meteor.js волокна и петли
- 13. Отслеживание данных GraphQL и Meteor.js
- 14. Meteor.js Публикация и подписка 2
- 15. meteor.js и npm требуют fs
- 16. Заказ груза: Meteor.js и Coffeescript
- 17. Meteor.js 0.6.5 и Cloud 9
- 18. Линеаризационные атаки
- 19. Как определить направление атаки и андроидную фрагментацию
- 20. Azure Traffic Manager и DDoS-атаки
- 21. ServiceStack XML Бомба и внешние сущности атаки
- 22. AJAX XSS атаки и .Net MVC
- 23. PHP session.use_cookies и сеанс атаки фиксации
- 24. Предотвратить атаки XSS и использовать Html.Raw
- 25. Объект кэш-атаки/пропусков и квот
- 26. Sql Injection - Доступны ли следующие атаки для атаки?
- 27. Это наводнение DDOS-атаки?
- 28. межсайтовые скриптовые атаки XSS
- 29. CheckMarx XSRF выпуск атаки
- 30. Как предотвратить повторные атаки?
Обсуждение Эмили Старк в Github отличное. Она объясняет, что, поскольку Meteor не использует файлы cookie, атаки CSRF невозможны. Эта часть разговора начинается в 10:30 в приведенном выше видео. –
Спасибо за информацию. Кажется, никто не заботится о безопасности метеоритов. Они просто хотят создавать приложения, но мне бы очень хотелось увидеть некоторые из проверок. :) –
@JoshuaMichael хорошо, мы заботимся – imslavko