个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
26
4
我的 Firebase 网络应用正在与与此问题相关的两个 URL 通信:
出于 Firebase 服务范围之外的安全原因,我将 CSP header 放入我的应用程序 (content=frame-src)。
我将 https://[MY_ID].firebaseapp.com/(第一个 URL)列入白名单,因为它需要进行身份验证。此外,相同的 url 在我的前端配置中,所以我觉得把它放在那里是安全的并且不会暴露任何 secret (如果这有意义......)。
但是在测试我的应用程序时,每隔一段时间我会收到有关第二个 URL 的以下错误:
Refused to frame 'https://[OTHER_ID].firebaseio.com/' because it violates the following Content Security Policy directive: "[MY_CSP_DIRECTIVE]".
我的问题是:
总的来说:
Action :
https://*.firebaseio.com/ 列入白名单是否安全?或者这会打开与其他(可能是恶意的)Firebase 用户的随机后端的通信吗? https://[OTHER_ID].firebaseio.com/ 那样指定我的 ID 吗?还是我随后公开了一个我不应该以任何方式公开的 ID?最佳答案
我承认我自己并不熟悉 Firebase,但我知道所有与 CSP 相关的方面。
Is it safe to whitelist https://*.firebaseio.com/ with a wildcard? Or does that open up communication to random backends of other (possibly malicious) Firebase users?
如果每个用户都有一个子域,那么是的,您将所有子域列入白名单,以便可以执行任何人的 firebase 代码。
更一般地说,您希望在不引起问题的情况下使用 CSP 尽可能具体。通常下至子域已经足够具体,但您甚至可以指定下至特定目录甚至文件(如果您愿意)。通常不建议将所有子域列入白名单。即使某个站点目前不在另一个子域上提供危险资源,他们也可以随时添加一个。
并且您不会通过在 CSP 中加入白名单来暴露用户不知道的任何内容。他们将从“来源”选项卡中知道域。如果您不希望用户看到直接来源,则必须使用代理。
如果它不影响您的应用程序,我仍然希望以某种方式解决问题,否则它会在浏览器控制台中留下一条可怕的消息(不是大多数用户会看到的)并且会使实现 报告-uri 后来所有误报带来的痛苦。用 io 域修复 child-src 并找出它的作用,如果它不是你需要的东西,我会看看你是否可以删除它。
关于javascript - firebaseio.com 和 firebaseapp.com 之间的区别,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/47562648/
26
4
0
我正在创建一个 Android 应用程序,目前正在尝试使用 Firebase 实现用户身份验证。据我所知,我的应用已连接到我的 Firebase 服务器。 我在尝试通过按下按钮从 SignIn Act
默认 FirebaseApp 在此过程中未初始化。确保首先调用 FirebaseApp.initializeApp(Context)。 我尝试了很多方法,但无法在设备中获取通知。 我也尝试过下面的事情
在更改了一些 gradle 依赖项后,我今天遇到了这个 fatal error 。即使我试图将 gradle 依赖恢复到原来的状态,我仍然在这一行收到错误: class MainActivity :
我正在尝试使用 Firebase 存储下载图像。我写了下面的代码 主 Activity .java public class MainActivity extends AppCompatActivit
我正在使用 kotlin 制作 Firebase 身份验证注册页面,但在我运行该应用程序时出现运行时错误。请看第 3 行和第 14 行我不知道是什么问题。 我没有附上主要代码,如果需要附上代码,请通知
我正在开发一个包含鸟类学应用程序的应用程序,并且我使用 Firabase 作为 BBDD。 我的问题是我收到以下错误:'java.lang.IllegalStateException:默认 Fireb
在我的 android 应用程序中,编译应用程序时出错。我在最新的 android studio 中工作,并使用 Firebase UI Auth 和 Firebase Database,所有版本在
在我将带有 fabric 集成的应用程序更改为 firebase Crashlytics 后,该应用程序开始在 HMS 设备上崩溃并给出如下错误。我在使用 Google Play 设备时没有遇到任何问
我尝试使用 Firebase 进行分析,但当我在 AppDelegate 的 didFinishLaunchingWithOptions 中添加 FirebaseApp.configure() 时。
尝试使用适用于 Android 的 firebase 库,遵循 firebase 文档中的所有步骤,当我应用说明时在 logcat 中显示我 FirebaseApp initialization un
03-02 21:03:03.087 6253-6253/ D/FirebaseApp: com.google.firebase.auth.FirebaseAuth is not linked. Sk
我的项目突然停止正常运行 - 它无法初始化 FirebaseApp。 我一直在使用老式的 Firebase 配置 - 直接来自 Firebase 控制台的 Google-Services 文件。我切换
我正在尝试删除 secondaryApp 代码,因为我想阻止函数 firebaseAuth.createUserWithEmailAndPassword(email,password) 在用户创建后自
我正在开发一个 iOS 项目,该项目使用 Firebase 进行分析、crashlytics 和远程配置获取。对于依赖管理,我使用 cocoapods 并且项目中的 Firebase 的当前版本是最新
我正在我的 macOS Catalina 10.15.6 上使用 Xcode 创建一个社交应用程序(出于个人兴趣),并且在真正做某事之前面临大量配置问题。 我已经陷入这个 swift 编译器错误 2
文档暗示,如果配置的任何部分失败,它都会引发异常,但似乎不可能实际捕获异常(Swift 4)。当然,不能将语句包装在 do..catch block 中。如果失败,我的应用是否注定会崩溃或继续尝试(但
我看到一些异常消息 Default FirebaseApp is not initialized in this process com.armoured。确保先调用 FirebaseApp.init
我正在尝试从 gcm 切换到 fcm。我已按照 gcm 到 fcm 迁移指南中详述的步骤进行操作,尽管 FirebaseApp 没有初始化。 我已经确定了几个可能的问题,但是 codenameone
我正在尝试使用 Robolectric 运行测试,它与 Firebase 集成。我有一个项目 MyProject - Test,我将使用它在数据库的真实实例中运行测试。 问题是,在测试前运行清理时,出
我想在我的 Android 应用程序中实现 Firebase-Messaging 插件。我从 github 中的“quickstart-android-master/messaging”示例开始:ht
我是一名优秀的程序员,十分优秀!