有没有办法只允许(但不要求)Firebase对象中的键?我知道您可以使用.validate来确保对象具有某些键。是否可以仅允许某些键,在白名单中?如果没有,这似乎是一个很好的方式,可以让不需要的/不必要的数据从恶意客户端进入数据库。
答案 0 :(得分:4)
您可以使用Firebase的 $ variables 禁止所有未指定的子项。来自Firebase guide on securing your data,来自这个例子:
{
"rules": {
"widget": {
// a widget can have a title or color attribute
"title": { ".validate": true },
"color": { ".validate": true },
// but no other child paths are allowed
// in this case, $other means any key excluding "title" and "color"
"$other": { ".validate": false }
}
}
}
因此widget节点可以具有color和/或title属性。但如果它有任何其他属性,它将被拒绝。
所以根据这些安全规则这些都是有效的:
ref.child('widget').set({ title: 'all is blue' });
ref.child('widget').set({ color: 'blue' });
ref.child('widget').set({ title: 'all is blue', color: 'blue' });
但根据上述规则,这些都是无效的:
ref.child('widget').set({ titel: 'all is blue' });
ref.child('widget').set({ title: 'all is blue', description: 'more...' });