將用戶傳遞到瀏覽器中meanjs

Question

我正在閱讀meanjs項目的源代碼以更好地學習JavaScript和MEAN。有一個表達：

<!--Embedding The User Object--> 
    <script type="text/javascript"> 
     var user = {{ user | json | safe }}; 
    </script> 

我明白，它在發送用戶記錄作爲JSON對象的瀏覽器，但無法找到谷歌「安全」的過濾器。任何人都可以請我指出正確的方向或解釋這是什麼？

Answer 1

是的，用戶對象實際上正在傳遞給瀏覽器，並且它實際上顯示在源代碼中。在實踐中，我部署的應用程序的源代碼有這個（實際數據廣義）：

<!--Embedding The User Object--> 
<script type="text/javascript"> 
    var user = {"_id":"123abc456xyzetc","displayName":"First Last","provider":"local","username":"newguy","__v":0,"roles":["admin"],"email":"my@email.com","lastName":"Last","firstName":"First"}; 
</script> 

正如你所看到的，它實際上轉儲用戶信息到源代碼，這是不發展最安全的方式應用程序。如果您在layout.server.view.html文件（var user = {{ user | json | safe }};）中註釋掉或刪除了該行，則無法真正登錄。它將您登錄，然後立即將您踢出。

你會發現，儘管在你的config > passport.js文件中的一些信息被傳遞迴瀏覽器之前取出，開始在各地的14行：

// Deserialize sessions 
passport.deserializeUser(function(id, done) { 
    User.findOne({ 
     _id: id 
    // The following line is removing sensitive data. In theory, you could remove other data using this same line. 
    }, '-salt -password -updated -created', function(err, user) { 
     done(err, user); 
    }); 
}); 

如果你決定刪除其他領域，不過，請注意，這可能會破壞您的應用程序。例如，我刪除了用戶標識，並且我的大部分應用都能正常工作，但它破壞了一些特定的功能（如果我沒有記錯的話，我相信這是文章）。