2

だから私は AngularJS を使用して社内で使用するための簡単な小さなアプリを作成しています。基本的には、AngularJS Web サイトの「プロジェクト」に基づいてプロジェクトを作成しています: http://angularjs.org/#project-js

ビュー/モデル/コントローラーのセットアップが完了し、データベースへの書き込みと読み取りが可能になりました。問題は、データベースに書き込むフォームが認証の背後にあるにもかかわらず、このプロジェクトが他の開発者によって使用されることです。私がそれらを知っていれば、誰もが最初に行うことは、javascript コンソールにジャンプして、データベースに書き込もうとすることです。

ここである種の認証がありませんか?mongodb に接続する api メソッドを使用する場合 (URL の例のように)、誰かがデータベースに書き込むのを防ぐ方法はありますか?それとも、db へのクライアント側接続を使用することの危険性だけですか?

4

1 に答える 1

4

クライアント (ブラウザ) は、データをデータストアに直接送信しないでください。Rails api など、サーバー側の検証を実行してからデータストアに保存するミドルウェアを経由する必要があります。JavaScript が db に直接投稿している場合、資格情報が公開されるだけでなく、ハッカーが検証をバイパスして、保存してはならない値を保持する可能性があります。

PS: Rails アプリは独自の認証レイヤーを追加する必要があります。そうすれば、CRUD を実行しているフォームが保護されます。

于 2012-12-18T21:54:03.717 に答える