经过Firebase Firestore身份验证的用户在篡改客户端代码后可以自由地写入数据

时间:2019-01-31 17:53:43

标签: firebase google-cloud-firestore firebase-security-rules

Firebase经过Firestore认证的用户可以在篡改代码之后自由地写入数据,

例如,将Firebase安全规则设置为仅允许用户写入自己创建的文档后,黑客是否可以篡改客户端代码并将自己的postoteCount从1增为1000?

我了解我们可以将安全规则设置为每写一份文档仅允许增加1票表决权。我想集中精力了解黑客是否可以修改客户端代码并像往常一样再次使用该应用程序。一个高度自信的答案是极大的赞赏。谢谢。我是快乐的Firebase用户

2 个答案:

答案 0 :(得分:0)

出于安全目的,您应该假定客户端代码已被泄露。毕竟,它运行在您无法控制的机器或设备上。这其实很容易有人更改JavaScript的工作在浏览器环境的方式。

答案 1 :(得分:0)

Firebase在其规则系统中具有许多安全性和数据验证功能。所有安全性和数据验证都需要在Firebase规则内完成或验证。您永远无法相信客户端应用程序/网络界面的行为。

也许投票存储为一组用户ID:投票,并且只允许用户创建一个具有自己ID的广告位,例如,投票可以是1,-1。