Meteor中客户端收集的安全性如何？

如果删除不安全的包，Meteor客户端集合的安全性如何？
如果我在客户端集合中存储用于连接外部资源的身份验证数据，它是否安全？

是一个软件包，它只允许任何用户在数据库上执行几乎任何类型的操作，而无需验证（因此它的名称）。它绝对不应该在生产中使用，它的主要用途是快速原型化应用程序，而不必担心服务器验证。如果您准备进一步开发应用程序，只需将其删除即可

---

您还必须考虑客户端集合是您可以想象的最脏的地方。不要相信客户发送给你或做的任何事情，验证所有事情。如果必须在客户端上存储身份验证数据，请确保一个客户端无法访问另一个客户端的敏感数据。

存储在客户端集合（甚至订阅）中的数据以及存储在会话中的数据主要易受XSS攻击。您的站点可能是https，因为没有它，accounts包就不安全

如果您的客户端正在向外部资源（第三方站点）发出经过身份验证的请求，则您的任何用户都可以通过在浏览器中检查您的网络请求来确定您的凭据