firebase - Firestore 规则 - 用户可以在应用范围之外编写吗?
问题描述
我开始查看 Firestore 的数据库规则,我想知道:用户可以使用“被黑”的应用程序执行不需要的请求吗?我的意思是,在我的应用程序上,用户的范围相当有限,所以他不能对数据库造成损害,但是对于同一个应用程序“被黑”,是否可以使用用户令牌来执行不需要的请求?
我的问题可能不清楚,但为了简单起见:我的应用程序的用户可以执行我没有写入代码的请求吗?
谢谢
解决方案
我的应用程序的用户可以执行我没有写入代码的请求吗?
答案是肯定的。
任何可以获取您的 Firebase 配置元素的人都可以使用 JavaScript SDK 编写一个简单的 HTML 页面,并尝试与您的 Firestore 后端进行交互。请注意,获取 Firebase 配置元素并不难,请参阅此答案。
或者,更简单的是,用户可以只使用Firestore REST API。
因此,结论是您确实需要使用适当的安全规则来保护您的数据。
推荐阅读
- python - 格式化从文件中捕获的随机行时出现问题
- ios - AR Quick View 的 AR Quick View 按钮在某些 iOS 设备上无法按下
- python - Airflow conn id 未定义,但已从 UI 定义
- python - 应用程序无法启动,因为它的并排配置不正确(Python/Pyinstaller/Tkinter)
- ios - Xcode 12.4 是否有在 Ios 15 上工作的解决方法?
- .net - 将 Visual Studio for Mac 中的 .NET 项目连接到 Azure SQL Edge
- javascript - Chomre 扩展内容脚本停止执行
- c# - 如何在控制台中心显示多行字符串
- docker - Docker 构建 - 无法解析“archive.ubuntu.com”
- c# - 为什么zxing扫描仪多次读取二维码?