我们有一个包含许多文档的集合,这是业务的“主要”数据源。
这个集合有一个阅读规则,使它对所有人(非用户)开放,因为这就是这个集合的目的。
我想让任何人合理地阅读此集合中的文档,这意味着消除黑客查询此集合中的所有文档立即收集只是为了评估我的业务规模。
不过,让无用户(任何人/公众)一次查询多个文档(因为某些页面需要这样做,但它的文档数量非常少)
我找不到一个规则可以让您在一个查询中阻止查询超过 X 个文档(比如说 40 个)。
【问题讨论】:
标签: firebase google-cloud-firestore firebase-security
请务必注意,Frank 的检查request.query.limit 的答案将限制单个查询的大小。但是,检查规则中的限制并不能阻止黑客使用pagination 执行多个查询以获取集合的全部内容。它只限制查询中传递给limit() 的值。
如果您需要对用户可以执行的查询类型进行更多控制,您可以使用Cloud Functions HTTP function(或您控制的其他一些后端)为查询创建 API 端点,并设置安全规则以防止所有直接访问收藏。
【讨论】:
您正在寻找request.query.limit。来自文档:
// Limit documents per request to 50
allow list: if request.query.limit <= 50
【讨论】: