【发布时间】:2022-01-08 02:20:18
【问题描述】:
我不想构建一个完整的应用程序,只是让它被黑客入侵。
我正在使用 Firebase 和 Expo。我知道 Firebase 的安全规则,但是对于 React Native/Expo 中的 JavaScript,我需要遵守什么规则吗?
比如,有没有用户可以更改我的 javascript 代码并使用它来对付我?我听说过运行时攻击,但我不知道人们是否可以像在浏览器中那样在移动应用程序中做到这一点。我已经看到用户/攻击者可以直接更改变量并将其转换为将应用程序数据发送到攻击者服务器的代码,但我不知道它是如何工作的。
【问题讨论】:
-
您不能信任在不受您物理控制的设备上运行的代码。是的,他们可以更改您的应用程序发出的任何变量或值或网络请求。因此,敏感数据应该在服务器端而不是客户端受到保护。如果构建得当,Firebase 的安全规则就是其中的一种方式。
-
您发送给用户的所有内容,您都应该假设他们会破坏/利用它。您需要编写不信任从前端发送的内容的后端代码,并假设您在设置服务器时会受到威胁。
-
从不。曾经。信任客户。从不。
标签: javascript firebase react-native security expo