我可以防止客户端使用Meteor设置Mongodb $吗？

-1

我需要帮助，不允许访问者在流星应用程序的浏览器控制台中增加他们的分数。

Meteor.users.update（{_。ID：Meteor.userId（）}，{$组：

目前 “黑客” 可以通过在控制台输入此增加他的场均得分{“profile.score “：1000000}}）

2016-09-27 webmagnets

提问之前请仔细阅读流星的文档。您要查找的是允许/拒绝规则（http://docs.meteor.com/api/collections.html#Mongo-Collection-allow）。 –

您是否删除了'不安全'和'autopublish'软件包。请参阅https://www.meteor.com/tutorials/blaze/security-with-methods

2016-09-28 17:35:58 Khai

删除'不安全'和'autopublish'软件包，Khai说。并添加

Meteor.users.allow({ 
    update:function(){ 
     return false; 
    } 
})

在服务器端

2016-09-28 19:23:06

@Vasil Nedyalkov的回答可能是正确的考虑，但我会做到这一点，而不是：

Meteor.users.deny({ 
    insert() { return true; }, 
    update() { return true; }, 
    remove() { return true; }, 
});

以及消除insecure和autopublish他说的那样。

2016-09-28 21:03:14 gkrizek

回答