如何让Blaze(Meteor's模板引擎的独立部分)使用动态下载的模板
How to get Blaze (the standalone portion of Meteor's template engine) to use a dynamically downloaded template
我正在为动态渲染的模板使用独立的blaze。到目前为止,我喜欢它的大部分,它快速进行细粒度dom更新的能力非常好。
我缺少的是如何处理这样的情况:我已经通过ajax下载了一个模板,并且需要让blaze来解析它,这样我就可以将它注入到我的前端。
我这样做的原因是,我不希望在合适的用户登录之前下载SPA中需要身份验证的部分的模板。例如,一般用户永远不会下载管理页面。
不要麻烦地告诉我我在安全方面做得不对,我已经对每个API请求使用了零信任模型,但我想要的是零信任模型——换句话说,如果你没有通过身份验证,你甚至看不到模板。
我发现了一个可能的替代解决方案,从侧面解决了这个问题。
我的问题是,我不想说管理页面和其他模板在dom检查员中可见。我宁愿根本不加载它们,但我还没有解决这个级别。
然而,我发现,一旦Blaze加载了模板,你就可以从dom中删除实际的模板代码,Blaze仍然会正确地渲染它们。
这至少让我可以稍微混淆一下这些东西。一个有进取心的黑客仍然可以通过监控网络流量来获取这些模板,但至少它们不是公开的。
使用此方法的适当安全性仍然需要缩小和模糊客户端代码,最好通过服务器上的ACL进行某种程度的保护,并调用使用某种形式的ACL验证的API。
相关文章:
- 如何在生成下载文件时显示加载动画
- 如何使jQuery插件函数可调用以供独立使用,而不在集合上操作
- 直接下载文件,而不是从window.open(url)
- 如何使用javascript或html下载PDF格式的填写表单
- Javascript运行php文件,然后下载文件
- 在单击href链接的同时下载文件
- 尽管链接成功并已成功下载,但未找到NPM模块
- 通过php页面中的js强制下载txt
- 定义完全独立的样式信息
- 如何更改reactjs中外部/独立组件的状态或属性
- 使用angularjs向浏览器发送servlet响应(下载功能)
- 通过javascript下载文件时设置文件名
- 如何在Edge中下载图像/png数据URI
- 下载使用POST数据动态生成的文件
- 在提交时打开thankyou.html+下载PDF
- HTML锚标记无法在android平台中下载文件
- PERL-下载CSV文件不完整
- 将下载链接从web浏览器传递给第三方应用程序
- 如何让Blaze(Meteor's模板引擎的独立部分)使用动态下载的模板
- 我可以在哪里下载独立的微软脚本编辑器