Firebase电子邮件/密码createUser安全性

时间:2015-03-28 20:27:49

标签: javascript security firebase

我正在使用Firebase 2.x.如果我启用了电子邮件/密码安全性,如何防止恶意的预先存在的用户编写自己的javascript代码,这些代码会对我的Firebase进行身份验证,然后启动createUser攻击?假设,它可能看起来像这样:

var ref = new Firebase(my_fire_base);
ref.authWithPassword({ email : 'pre@existing.com', password: 'validpassword' },
    function(error, authData) { 
        if (!error) { 
             ref.createUser( ... ); // do this a bunch of times
        }
    });

1 个答案:

答案 0 :(得分:1)

由于这个问题是cross-posted to Google Groups,我会引用there给出的答案:

  

您无需通过身份验证即可调用createUser()。这是设计和所有注册系统的工作方式。恶意客户端可能会多次调用createUser(),但这是我们在我们提供的服务中构建速率限制并阻止人们这样做的地方。你不能限制特定的起源,即使你可以,正如你所提到的,这很容易被欺骗。

相关问题
最新问题