Понимание «Не допускается. Ненадежный код может обновлять документы только по идентификатору ». Ошибка метеора

ВМетеор 0.5.8 было внесено следующее изменение:

Призывы к обновлению и удалению функций коллекции в недоверенном коде больше не могут использовать произвольные селекторы. Вы должны указать один идентификатор документа при вызове этих функций из клиента (кроме как в методе-заглушке).

Так что теперь, если вы хотите отправить произвольные обновления в базу данных с клиентской консоли, вы должны сделать что-то вроде:

People.update({_id:People.findOne({name:'Bob'})['_id']}, {$set:{lastName:'Johns'}});

Вместо:

People.update({name:'Bob'}, {$set:{lastName:'Johns'}});

Я думал, что эта проблема безопасности контролируется настройкой функций Meteor.Collection.allow и .deny в сочетании с пакетами autopublish и unssecure. Мне понравилось иметь возможность взаимодействовать с БД из консоли Chrome JavaScript.

Какова мотивация для изменений в Meteor 0.5.8?

Ответы на вопрос(1)

Ваш ответ на вопрос