javascript - 如何让 Blaze ( Meteor 引擎模板的独立部分) 使用动态下载的模板

  显示原文与译文双语对照的内容
0 0

我正在使用独立的火焰来动态渲染模板。 到目前为止,我很喜欢它,它能够快速完成细粒度dom更新的。

我要做的就是如何处理通过ajax下载模板的情况,并且需要使用to解析它。

我的理由是,我不希望在适当的用户登录之前下载需要身份验证的部分的模板。 例如管理员页面永远不会下载给一般用户。

不要告诉我我在做安全,我已经经使用了一个零信任模型,但是我想要的是一个零信任模型。

时间:原作者:1个回答

0 0

我有一个可以能的替代解决方案来解决问题。

我的问题是,我不想说管理页面和其他模板在dom检查器中可见。 我宁愿不加载它们,但我还没有解决这个级别。

然而我发现,一旦火焰加载了模板,你可以以从dom中删除实际模板代码。

这至少让我把这些东西弄糊涂了一点。 一个进入式黑客仍然能够通过监视网络流量来获得这些模板,但至少它们没有出现。

使用这种方法的适当安全性仍然要求客户端代码在服务器上进行缩小和模糊处理,最好在服务器上使用 protected,并调用使用某种形式ACL验证的API 。

原作者:
...