是否有任何机制(至少理论上)可以控制向客户提供哪些脚本?我已经使用import('dynamically_loadable_file') 将代码拆分为可动态加载的部分,但只要在客户端上调用它,就会提供文件。我想执行一些安全检查用户是否有权加载文件。我想到了中间件,但那些只是用于 HTTP 和可执行脚本是通过 WebSockets 提供的。
另外,如果可能的话,我想控制所提供脚本的内容。例如。我想根据用户加载它们向脚本添加或“隐藏”一些函数或变量。我想可能需要使用 AST 进行动态编译之类的东西,或者可能有/将有其他东西可用。我想这是另一个层次,但如果有一些关于这些想法的内容,我将不胜感激。
也许流星根本不可能,所以如果这在 JavaScript (node.js) 世界的任何地方都是可能的,那也会有所帮助。
感谢您的想法和解释。
【问题讨论】:
标签: javascript node.js meteor dynamic dynamic-import
大多数客户端保护机制都可以包含足够的知识和正确的工具。
对您的问题最可行的解决方案是为您当前的前端引擎使用服务器端渲染 (ssr) 库。
有了 ssr 你就可以解决
允许控制向客户端提供哪些脚本?
执行一些安全检查用户是否有权加载文件
脚本通过 WebSockets 提供
控制所提供脚本的内容
根据用户加载某些函数或变量向脚本添加或“隐藏”它们
因为您的所有模板都在服务器上呈现,并且只有结果数据返回给客户端。
Meteor 的一些 ssr 包:
通用:https://docs.meteor.com/packages/server-render.html
React:https://www.chrisvisser.io/meteor/how-to-set-up-meteor-react-with-ssr(带有样板代码库链接的指南)
Vue:https://github.com/meteor-vue/vue-meteor/tree/master/packages/vue-ssr
除此之外,我想强调的是,您可以通过出版物和方法实现大多数数据处理。
如果您的数据和逻辑在服务器上不受保护,则在客户端显示/隐藏 HTML 元素不会增加任何安全性。
如果您只将正确的数据发布给正确的用户(例如使用alanning:roles),那么您加载哪些脚本并不重要。
方法也是如此:如果您对谁(再次使用alanning:roles)可以调用方法非常严格,那么用户是否可以禁用路由器并查看路由器上的所有“隐藏”区域都没关系客户端,因为所有无效操作都在服务器端被拒绝。
【讨论】: