如何从 chrome 扩展或 Tampermonkey 扩展中保护 Firebase 实时数据库？ [复制]

Question

任何知道如何在 Tampermonkey 扩展程序中编写脚本或如何创建扩展程序的人都可以轻松地在网页中注入 javascript 代码并访问配置键。那么如何保护它呢？

var config = {
    apiKey: "apiKey",
    authDomain: "projectId.firebaseapp.com",
    databaseURL: "https://databaseName.firebaseio.com",
    storageBucket: "bucket.appspot.com"
};
firebase.initializeApp(config);

现在我唯一能想到的就是包装匿名函数以避免全局变量可访问性。这可以防止访问变量。

还是不安全，开发者可以使用正则表达式ajax javascript文件和解析数据，那么如何防止呢？

我想到的另一件事是使用 nodejs 作为后端并使用 restapi 获取数据，但它也排除了它是实时数据库。此外，如果firebase在后端实时更新数据库，我必须使用socket.io将数据实时传输到客户端。

因为如果任何人都可以注入脚本来访问配置键，那么他也可以按照自己的意愿在数据库中的任何地方读写，只要授予读写权限。 这是一个安全问题。客户端上可用的任何密钥都是有风险的。那么如何防止此类攻击呢？

Answer 1

这是一个相当普遍的问题。答案是：不，客户端不能在数据库的任何地方读写，只能在你的规则允许的地方读写。

这与 REST 完全一样，如果您有一个 REST API，那么您的所有端点都是公共的。防止恶意使用的是服务器规则。

在这种情况下，数据库规则负责保护和验证数据。

最简单的规则是用户登录：

Items: {
    .read: if auth != null, 
   .write: if auth != null
}

你还可以有更通用的规则，比如所有者权限

user_items: {
   $uid: {
         .read: if auth.uid == $uid, 
        .write: if auth.uid == $uid  
   }
}

前面的示例考虑了一个数据结构，其中每个用户都有自己的节点，但如果出于任何原因您打算将其全部保存在同一个节点中，则可以使用query rules 来完成。我的建议是使用上述结构，这样将来可以通过非规范化数据来添加管理功能。

这里的不同之处在于，如果您查看凭据，就会暴露您的凭据，没有什么真正私密的东西，只有 Firebase 需要数据才能将请求与您的项目相匹配，除此之外，您的项目必须定义安全性。请注意保护 RT​​D、Firestore 和存储。