配置Firebase项目域限制

时间:2018-09-05 11:45:29

标签: javascript reactjs firebase security firebase-realtime-database

我的情况如下:

我在Firebase上有一个数据库。我有一个应用程序,它在域中。因此,现在我已经按照以下方式配置了Google控制台:

enter image description here

但是,我还有第二个应用程序,我想 在本地使用,例如localhost:3000或使用npm start的类似应用程序。由于该应用是使用React构建的,因此整个代码和API密钥都是可见的。所以我需要域限制。拥有密钥和凭据的任何人都可以构建自己的反应项目,并且只要信任localhost:3000这样的域,就可以搞乱一切。

更改域名也是不够的,因为攻击者只能通过端口进行迭代并对其进行测试。

我可以在本地使用该应用程序而不会造成安全漏洞吗?

1 个答案:

答案 0 :(得分:2)

不幸的是,后端无法将一个本地主机标识为OK,而不是另一个本地主机。

另一方面,如果您正确配置数据库规则,则攻击者将无法向生产表中添加恶意数据。而且,如果您要通过Google API屏幕来限制域名,那么我想您已经了解Firebase RTD rules了。