【问题标题】:Is there a way to only allow the rules of read and write come from a specified url? [duplicate]有没有办法只允许读写规则来自指定的url? [复制]
【发布时间】:2019-05-01 03:58:39
【问题描述】:

我想制定一套规则,它只接受来自指定 URL 的读写。

例如,当某些代码尝试访问我的数据库时,只有当域类似于 https://myProject.theHostDomain.com 时才会允许它访问它

我查阅了其他人提出的问题,似乎对 Google Firebase 实时数据库安全规则的主题感到困惑。我只能想到一种方法来保护我的数据库,那就是通过网站的域。

可能是这样的:

{
   "rules": {
      ".read": "$url === https://myProject.theHostDomain.com/",
      ".write": "$url === https://myProject.theHostDomain.com/"
   }
}

我想保护我的数据库,因为我的数据库包含用户名、电子邮件、密码和其他我的用户将拥有的私人信息。我希望有一个解决方案,我不必考虑如何保护来自指定 url 的数据库读写规则。是的,我知道他们可以在检查元素中使用控制台,但我可以稍后处理。

【问题讨论】:

    标签: javascript firebase firebase-realtime-database firebase-security


    【解决方案1】:

    无法限制对源自特定网站或互联网位置的 Firebase 资源(实时数据库、Cloud Firestore、Cloud Storage)的访问。一般而言,Web 不利于安全源站验证的报告。有“referer”标头,但很容易被欺骗。

    您应该改为使用 Firebase 身份验证来登录用户,然后保护只有该特定用户才能访问的内容。

    【讨论】:

    • 好吧,我没有使用 Firebase 身份验证,我正在让我的数据库保存所有信息。
    • 如果没有 Firebase 身份验证,您将很难阻止整个互联网读取和写入数据库中的所有信息。
    猜你喜欢
    • 2018-04-24
    • 1970-01-01
    • 2017-03-30
    • 2015-07-21
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多