- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我想在我的应用程序中允许链接看起来像:
mywebsite.com?u=nc27ri3ucfyinyh3
其中 nc27ri3ucfyinyh3
是一个 uuid,因此可以将链接发送给匿名用户。匿名用户应该能够查看该页面(数据库读取),但它也应该将他们查看该链接的信息记录到数据库中(数据库写入)。
当我们的 firestore 规则看起来像这样时我们会收到警告
rules_version = '2';
service cloud.firestore {
match /databases/{database}/documents {
match /{document=**} {
allow read, write;
}
}
}
因为它不安全。
Your security rules are defined as public, so anyone can steal, modify or delete data in your database
我们应该如何处理这些匿名用户的情况?
最佳答案
第一件事是您可以编写一组比现有规则更严格的规则(例如,将写入限制为仅一个集合(通过更改 match/{document=**}
行到限制性更强的东西(例如,只是 links
集合或其他东西)。当然,这仍然有效地允许匿名用户完全运行您的数据库,但仅限于该集合内。
此外,您可以添加 validation通过 request.resource
对象传入的请求)——这可能是由于用户的匿名性质,您仍然会有一组相对不安全的规则。
数据验证方法可以查看数据库的当前状态(在 resource.data
中)以及传入请求的内容(在 request.resource
中) >).这是 Resource 的引用文档和 Request对象。
这是一个假定这些文档的示例规则:
/uuids
集合中content
和 visits
visits
必须是整数,并且只允许递增visits
被初始化为零。我没有广泛测试这些规则,只是用模拟器确认它们的行为大致符合预期,我推荐你write extensive tests对于您打算部署的任何规则。特别是,我不确定仅在文档争用激烈时才递增的测试行为。
rules_version = '2';
function notUpdating(field) {
return !(field in request.resource.data)
|| resource.data[field] == request.resource.data[field]
}
service cloud.firestore {
match /databases/{database}/documents {
match /uuids/{uuidValue} {
allow get: if true;
allow update: if (request.resource.data.keys().size() == 2 &&
notUpdating('content') &&
request.resource.data['visits'] == int(request.resource.data['visits']) &&
request.resource.data['visits'] > 0 &&
request.resource.data['visits'] == resource.data['visits'] + 1);
allow write: if false; // these 4 lines can also just be omitted
allow list: if false;
allow delete: if false;
allow create: if false;
}
}
}
例如,这将允许您确保仅准确地触摸您想要的字段,并且仅使用有效数据(例如正整数或类似的)。
记住——安全规则是你的唯一保护——用户可以在这些规则内对数据库运行任意代码,而不仅仅是你给他们的代码。因此,例如,如果他们可以全面阅读集合,他们就可以逐字阅读该集合中的整套文档。
或者,编写一个 http、https 或可调用的 cloud function 可能更有意义这正是您所需要的——通过写入注册该链接已被使用,然后重定向或提供必要的数据本身。这使您可以更好地控制特定的写入,但它确实会带来一些额外的成本。这里的优势是您根本不需要允许对数据库的任何公共(public)或开放访问。
如果该网站托管在 Firebase 托管上,云功能也可以通过 mywebsite.com
提供,通过 rewrite rules .
关于firebase - 允许匿名用户写入 firebase firestore,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/59040193/
所以 promises 对我来说是相当新的,但我喜欢这个想法。 之前... 我以前用过这个,它只在文件被完全读取并按预期工作后才简单地返回数据: function something{ fo
当我尝试编译时出现以下错误: In member function 'double search::IDAstar::dfs(const State&, double)': 153:18: erro
最接近下面的是什么?不幸的是,下面的方法名称编译错误。 int val = delegate(string s) { return 1; }("test"); 我也尝试了 (...)=>{..
1、评论提交超时: 大家可能会发现,在提交评论非常缓慢时最容易出现“匿名”现象,这种情况主要是由于评论提交时执行时间过长引起的,可能是装了比较耗时的插件(比如Akismet等);很多博
我想在同一个表中使用一个键插入一个匿名表,如下所示: loadstring( [[return { a = "One", b = a.." two" }]] ) 在我看来,这应该返回下表: {
有人知道免费的匿名 smtp 服务吗?我想让我的应用程序的用户能够偶尔向我发送一封匿名电子邮件,而无需配置输入他们电子邮件帐户的服务器。我想我可以为此目的设置一个 gmail 帐户并将凭据嵌入到应用程
我有这个数据补丁: ALTER TABLE MY_TABLE ADD new_id number; DECLARE MAX_ID NUMBER; BEGIN SELECT max(id)
假设我有以下数据框。 Person_info (Bob, 2) (John, 1) (Bek, 10) (Bob, 6) 我想通过保持它们的值(value)来匿名。 Person_info (Pers
根据多个国家/地区的法律要求,我们在日志文件中匿名化用户的 IP 地址。使用 IPv4,我们通常只是匿名化最后两个字节,例如。而不是 255.255.255.255我们记录255.255.\*.\*
我正在学习有关 Scala 的更多信息,但在理解 http://www.scala-lang.org/node/135 中的匿名函数示例时遇到了一些麻烦。 .我复制了下面的整个代码块: object
我正在开设一个 Commerce 网上商店。 我想添加 Commerce 愿望 list ,但现在该模块仅适用于注册用户,因为未注册它不起作用。 我将显示 block 中的角色设置为匿名,但即使在更改
我正在使用发现的 Google Apps 脚本 here让匿名用户将文件上传到我的 Google 云端硬盘。 我想要的是脚本使用表单上输入的名称创建一个文件夹,然后将文件存放在该文件夹中。 到目前为止
我遇到的情况是,我正在等待一些事件的发生。我看到很多关于如何使用命名函数使用 setTimeout 的好例子,但是有没有办法使用某种匿名方法来设置超时? 代码目前看起来像这样: testForObje
我一直在阅读一些关于 Android 内存泄漏的文章,并观看了来自 Google I/O 的这个有趣的视频 on the subject . 尽管如此,我仍然不完全理解这个概念,尤其是当它对用户安全或
我正在尝试适应 Spring JDBC,但让我烦恼的是使用这些匿名类,我们不能传递任何局部变量,除非它们是最终的,这可能很容易安排,但是如果我需要循环一个怎么办?数组还是集合?我无法将“FedMode
我正在尝试将数据输入到 Oracle 数据库中。这将是一个带有多个参数的存储过程……我的意思是像 27 个参数(别问,我没有设计它)…… 现在我必须以某种方式填充此存储过程的参数...存储过程采用的大
我之前问过这个问题:Combine a PartialFunction with a regular function 然后意识到,我实际上并没有问对。 所以,这是另一个尝试。 如果我这样做: va
我想从 C++ 执行一个匿名的 Qt 脚本函数,但不知道要使用的 QScriptContext。 这是脚本: { otherObject.Text = "Hello World"; setTi
我有一个返回 promise 的函数。 (本例中为 foo) 我尝试在声明为匿名的解析函数中调用此函数。 我已经尝试过使用this 但这不起作用。 我的代码是这样的 var foo = functio
这个问题的灵感来自这个 excellent example .我有 ASP.NET Core MVC 应用程序,我正在编写 unit tests为 Controller 。其中一种方法返回带有匿名类型
我是一名优秀的程序员,十分优秀!