个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
24
4
我的前端 Web 代码中嵌入了一个函数,用于接受经过身份验证的用户的订单。一位好奇的用户决定检查我的网络代码并了解此功能。因此,他找到了我的数据库中存储订单的位置,以及经过身份验证的用户有权在该集合中写入的权限。他决定向订单集合发送垃圾邮件,并用成人消息填充我的数据库。我怎样才能阻止它?
orderButton.addEventListener('click', (e)=>{
db.collection('orders').add({item: e.target.id, buyer: user.uid})
})
我应该在后端执行云功能来检查有效性或限制每小时的订单。如果是这样,为什么我不应该首先在后端编写订单函数,然后从前端调用?
Firebase 对后端云功能收取额外费用,因此我想知道有什么方法可以节省成本并在前端发挥所有作用?
最佳答案
从客户端直接写入数据库是 Firebase 的功能之一,但它并不能用于所有用途。例如,它的最佳应用是让用户更改自己的描述或个人资料图片,或编辑自己的博客文章。不能伤害别人的东西。你应该写足够的security rules为了消除任何可能的滥用此功能的情况,例如,您不允许用户编辑其他用户的博客文章
拥有一个让每个用户(甚至经过身份验证的用户)都可以写入的 orders 集合是不应该的。如果您允许用户在 orders 数据库中创建订单,则无法阻止任何用户向该数据库发送虚假订单,或使用其他用户的名称创建订单(通过在 buyer< 中输入任何其他 ID)/ 字段)。您不能信任该集合中的数据
这不是公开客户端代码中的函数以供他人阅读,而是更多地涉及制定甚至允许此类操作的安全规则
总结并回答您的问题,有时让用户在正确设计的安全规则下直接写入数据库是可以的,但在您的场景中并非如此。如果您希望 orders 集合可信,您应该从服务器端管理它
关于javascript - 您是否应该向前端公开一个将数据写入数据库的函数?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/60693955/
24
4
0
例如 Form1 frm1 = new Form1(); TextBox tb = new TextBox(); frm1.Controls.Add(tb); 现在我不能说 f
我有一个日期过滤器,我已经在我的 View 中公开了它。我想让界面更加用户友好并加强它的外观。我不想选择日期,而是从以下选项中进行选择。 最后一天 上周 去年 全部 然后,这将过滤日期字段。这可能吗?
如何向用户公开我的用户控件组件之一的 ActualWidth 属性? 我找到了很多关于如何通过创建新的依赖属性和绑定(bind)来公开普通属性的示例,但没有关于如何公开像 ActualWidth 这样
Github 最近推出了项目功能。 当项目处于 repo 级别时,如果 repo 本身是公开的,那么任何人都可以访问这些项目。 但是,组织级别的项目仅对组织成员可见。 例如,https://githu
我想要从我的网络服务器访问 JavaScript 文件。 以便任何人都可以在其网站中访问和引用它。 e-g 假设 abcxyzserver.com 是我的网络服务器。 www.abcxyzserv
尝试使用curl命令上传到blob存储 curl --upload-file --url "https://.blob.core.windows.net//" 但不断收到“HTTP/1.1 404
我正在尝试获取 Canvas 的上下文,显然我收到错误Uncaught TypeError: Cannot call method 'getContext' of null 显然我在它初始化之前就得到
我正在对设置 HA 集群的解决方案进行故障排除。虽然我知道应用程序执行故障转移和故障回复所需的端口,但不知何故 dockerized 解决方案不起作用。我怀疑有一些我还不知道的端口。 目前,我的 EX
我试图在能够使用 Helm 运行的k8集群中设置Prometheus。当我使用外部IP将Prometheus-Server作为LoadBalancer服务公开时,访问仪表板。 当我尝试将此服务配置为C
我知道关于这个主题也有类似的问题,但我不完全确定他们正在解决同样的问题。所以要明确的是... 我有一个现有的类库,其中包含用于类型、业务逻辑和数据访问的命名空间。逻辑和数据访问命名空间中的类是静态的,
尝试使用curl命令上传到blob存储 curl --upload-file --url "https://.blob.core.windows.net//" 但不断收到“HTTP/1.1 404
1.)执行以下命令生成一个随机数,用于后面的步骤 NUMBER=$[ ( $RANDOM % 1000 ) + 1 ] echo $NUMBER 注意:将句子 your random number 替
类似这样的问题有很多,但仍然无法得到我真正想要的,而且它们都有一些与我不同的地方,那就是:我有一个 UserControl: 在名为UCProject 的类库项目中单独构建; UCProject 项目
我有一个这样的基类: public class BaseModalCommand { protected object m_commandArgument; protected i
给定以下 JQuery 插件。是否可以将变量“元素”公开给插件外部的 javascript?如果是这样,这是怎么做到的?对于此插件外部的 javascript,访问“元素”的语法是什么? (funct
我有两个使用 jhipster 创建的微服务。 (ms1 和 ms2) 我使用 AuthorizedFeignClient 在两个微服务之间进行通信。 ms1 有一些 DTO 类,用作 REST AP
我正在使用错误跟踪软件来报告网络浏览器中发生的任何错误,但我的生产站点上的代码已缩小。因此,调试几乎是不可能的(变量名被更改等)。 我想将完整的源映射文件投入生产,以便我可以调试这些错误,但在这样做时
我在 Kotlin 公开库中可以找到的所有 Material 都假定该表具有一个主标识列,因此在大多数示例中显示的实体继承了 IntEntity 抽象类。例如: class UserLocation(
我有一个类 (Capsule),它有很多 protected 方法 (30+)。这个想法是允许开发人员扩展此类并在类 (ImADev) 中使用 protected 方法,但将其留给开发人员将它们公开为
Tomcat 日志位置是: /apache/apache-tomcat-8.0.15/logs 允许通过浏览器访问这些日志的标准方法是什么? 为此启用 Tomcat 目录列表标准吗? 最佳答案 我曾在
我是一名优秀的程序员,十分优秀!