10
Handelt das Meteor.js Framework bereits Maßnahmen gegen CSRF- und XSS-Angriffe? Wenn nicht, welche anderen Vorsichtsmaßnahmen müssen wir berücksichtigen?Meteor.js und CSRF/XSS Attacks
A
Antwort
15
Die Seitenrendering-Engine von Meteor kümmert sich beim Umgang mit Datenbindungen um spezielle Sonderzeichen, die vor einfachen XSS-Angriffen schützen. Meteor bietet auch sehr einfach zu bedienende APIs zur Steuerung der Browser-Richtlinie (http://docs.meteor.com/#browserpolicy) wie Framing-Optionen oder Inhaltsrichtlinienoptionen.
Es ist erwähnenswert die check und audit-argument-checks Pakete - diese helfen Ihnen, Benutzereingaben basierend auf ihren Typen zu validieren, um MongoDB Injektionen zu verhindern.
CSRF-Attacken sind in Meteor nicht möglich, da das Framework selbst keine Cookies verwendet und HTML5 localStorage bevorzugt, was wesentlich schwieriger zu fälschen ist.
Für erweiterte Konten Berechtigungen, überprüfen Sie das Meteor-Rollen-Paket: https://atmospherejs.com/alanning/roles, können Sie all das manuell implementieren, aber das Paket ist gut gepflegt (obwohl es nicht Teil des Kerns ist).
Auf dieser Seite finden Sie weitere Informationen: http://security-resources.meteor.com/.
Zusätzlich Emily Stark, Meteor-Core Dev sprach viel über Sicherheit in Meteor und wie es hilft Ihnen, die Kontrolle über die Sicherheit in Ihrer App zu bekommen:
Emily Starks Vortrag bei Github ist ausgezeichnet. Sie erklärt, dass, weil Meteor keine Cookies verwendet, CSRF-Angriffe nicht möglich sind. Dieser Teil des Vortrags beginnt um 10:30 Uhr im oben verlinkten Video. –
Danke für die Info. Niemand scheint sich um die Sicherheit von Meteoriten zu kümmern. Sie wollen nur Apps erstellen, aber ich würde es hassen, einige der Audits zu sehen. :) –
@JoshuaMichael gut, wir kümmern uns darum – imslavko