gpt4 book ai didi

firebase - 如何防止 Firebase Web 应用程序的客户端控制台遭到黑客攻击?

转载 作者:行者123 更新时间:2023-12-03 00:37:41 26 4
gpt4 key购买 nike

我突然意识到,由于有如此多的客户端逻辑,恶意用户可以通过在任何浏览器中使用控制台来欺骗、覆盖或玩弄 Firebase 应用程序。

例如,我可以输入 $(".flag").click() 并用三笔将我的应用程序上的每个帖子标记为不存在。

我写的任何防御逻辑都将提供给任何想要破解它的人。

你是如何处理这个问题的?有解决办法吗?

最佳答案

实际上,在安全性方面,Firebase 与任何其他服务器进程没有什么不同。任何人都可以在任何站点上打开 JavaScript 控制台(或编写自己的 HTML 页面,或从命令行运行curl)来尝试操作数据。

Firebase 使用简单但功能惊人的方式管理客户端 security rules 。将它们与身份验证模式结合起来,您就可以限制对任何传入数据的访问,并以最小的麻烦验证任何传入数据。

{
"rules": {
// widgetName must be a string
"widgetName: { ".validate": "newData.isString()" },

// user accounts can only be read by the authenticated client
"users": {
"$user_id": {
".read": "$user_id === auth.id"
}
}
}
}

关于firebase - 如何防止 Firebase Web 应用程序的客户端控制台遭到黑客攻击?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/19237836/

26 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com