我的情况如下:
我在Firebase上有一个数据库。我有一个应用程序,它在域中。因此,现在我已经按照以下方式配置了Google控制台:
但是,我还有第二个应用程序,我想仅 在本地使用,例如localhost:3000
或使用npm start
的类似应用程序。由于该应用是使用React构建的,因此整个代码和API密钥都是可见的。所以我需要域限制。拥有密钥和凭据的任何人都可以构建自己的反应项目,并且只要信任localhost:3000
这样的域,就可以搞乱一切。
更改域名也是不够的,因为攻击者只能通过端口进行迭代并对其进行测试。
我可以在本地使用该应用程序而不会造成安全漏洞吗?
答案 0 :(得分:2)
不幸的是,后端无法将一个本地主机标识为OK,而不是另一个本地主机。
另一方面,如果您正确配置数据库规则,则攻击者将无法向生产表中添加恶意数据。而且,如果您要通过Google API屏幕来限制域名,那么我想您已经了解Firebase RTD rules了。