security - Ataques Meteor.js y CSRF/XSS

(1)

El motor de renderizado de páginas de Meteor se ocupa de evitar los símbolos especiales cuando se trata de enlaces de datos que se guardan de ataques XSS muy básicos. Además, Meteor proporciona API muy fáciles de usar para controlar la política del navegador ( http://docs.meteor.com/#browserpolicy ), como opciones de marcos o opciones de políticas de contenido.

Vale la pena mencionar los paquetes check y audit-argument-checks , que le ayudan a validar las entradas de los usuarios según sus tipos para evitar las inyecciones de MongoDB.

Los ataques CSRF no son posibles en Meteor ya que el framework en sí no usa cookies y prefiere HTML5 localStorage, que es mucho más difícil de falsificar.

Para obtener permisos de cuentas avanzados, revise el paquete de roles meteorológicos: https://atmospherejs.com/alanning/roles , puede implementar todo eso manualmente pero el paquete está bien administrado (aunque no forma parte del núcleo).

Consulte esta página para obtener más información: http://security-resources.meteor.com/ .

Además, Emily Stark , Meteor Core Dev habló mucho sobre la seguridad en Meteor y sobre cómo te ayuda a controlar la seguridad de tu aplicación:

• Charla original en Meteor Devshop 6
• Lightning hablar sobre la inyección de Mongo que encontró
• Una charla en Hack Reactor
• Meteor y Web Security hablan en Pivotal Labs
• Seguridad en aplicaciones de una sola página hablar en GitHub
• Por qué Meteor no usa cookies de sesión