2013-08-01 11 views

risposta

34

Prima di tutto, capire che non è possibile proteggere alcun URL su Internet in base al dominio di origine - gli utenti malintenzionati possono semplicemente mentire. La protezione dei domini di origine è utile solo per prevenire gli attacchi di spoofing tra siti (laddove una fonte dannosa finge di essere il tuo sito e ingannano gli utenti per l'accesso a loro nome).

La buona notizia è che agli utenti è già impedito di autenticare da domini non autorizzati dall'inizio. È possibile impostare i tuoi domini autorizzati nel Forge:

  • digitare l'url Firebase in un browser (ad esempio https://INSTANCE.firebaseio.com/) registro
  • in
  • clic sulla scheda autenticazione
  • aggiungere il dominio all'elenco dei Autorizzato richieste Origini
  • selezionare un "provider" che si desidera utilizzare e configurare di conseguenza

Ora per proteggere i dati, è wi Vai alla scheda sicurezza e aggiungi le regole di sicurezza. Un buon punto di partenza è il seguente:

{ 
    "rules": { 
     // only authenticated users can read or write to my Firebase 
     ".read": "auth !== null", 
     ".write": "auth !== null" 
    } 
} 

Le norme di sicurezza sono un grande argomento. Si desidera get up to speed by reading the overview and watching this video

+11

Mi piacerebbe sviluppare un'app che gli utenti possano utilizzare senza effettuare il login. Ma mi preoccupo se qualcuno sfoglia la fonte del mio sito e ottiene l'URL del mio firebase che è stato publicato, quindi lo uso per i suoi processi di lettura e scrittura. Ho aggiunto un www.google.com come URL autorizzato, ma posso scrivere al mio firebase da un IP di un altro host che contiene i miei file di app. –

+5

Come indicato, non è possibile impedire a nessuno di scrivere al tuo Firebase (o qualsiasi altra cosa sul web) senza l'autenticazione di alcune varianti. – Kato

+1

Vedo che è come un'autenticazione del database rdbms. grazie. –

Problemi correlati