35
Come impedire ad altri utenti che possono utilizzare l'URL del mio firebase? Cosa devo fare per assicurarlo solo al mio dominio?Come impedire altri accessi al mio firebase
A
risposta
34
Prima di tutto, capire che non è possibile proteggere alcun URL su Internet in base al dominio di origine - gli utenti malintenzionati possono semplicemente mentire. La protezione dei domini di origine è utile solo per prevenire gli attacchi di spoofing tra siti (laddove una fonte dannosa finge di essere il tuo sito e ingannano gli utenti per l'accesso a loro nome).
La buona notizia è che agli utenti è già impedito di autenticare da domini non autorizzati dall'inizio. È possibile impostare i tuoi domini autorizzati nel Forge:
- digitare l'url Firebase in un browser (ad esempio https://INSTANCE.firebaseio.com/) registro
- in
- clic sulla scheda autenticazione
- aggiungere il dominio all'elenco dei Autorizzato richieste Origini
- selezionare un "provider" che si desidera utilizzare e configurare di conseguenza
Ora per proteggere i dati, è wi Vai alla scheda sicurezza e aggiungi le regole di sicurezza. Un buon punto di partenza è il seguente:
{
"rules": {
// only authenticated users can read or write to my Firebase
".read": "auth !== null",
".write": "auth !== null"
}
}
Le norme di sicurezza sono un grande argomento. Si desidera get up to speed by reading the overview and watching this video
Mi piacerebbe sviluppare un'app che gli utenti possano utilizzare senza effettuare il login. Ma mi preoccupo se qualcuno sfoglia la fonte del mio sito e ottiene l'URL del mio firebase che è stato publicato, quindi lo uso per i suoi processi di lettura e scrittura. Ho aggiunto un www.google.com come URL autorizzato, ma posso scrivere al mio firebase da un IP di un altro host che contiene i miei file di app. –
Come indicato, non è possibile impedire a nessuno di scrivere al tuo Firebase (o qualsiasi altra cosa sul web) senza l'autenticazione di alcune varianti. – Kato
Vedo che è come un'autenticazione del database rdbms. grazie. –