web-dev-qa-db-ja.com

Firebase Databaseへの不正アクセスを防ぐにはどうすればよいですか?

Firebase URLを介して他のユーザーがFirebase Databaseにアクセスできないようにするにはどうすればよいですか?自分のドメインのみにセキュリティを設定するにはどうすればよいですか?

44
Serhat Koroglu

まず、Originドメインに従ってインターネット上のURLを保護できないことを理解してください。悪意のあるユーザーは単純に嘘をつくことができます。オリジンドメインの保護は、クロスサイトスプーフィング攻撃(悪意のあるソースがあなたのサイトになりすまして、ユーザーに代わってログインさせてしまう)を防止する場合にのみ役立ちます。

幸いなことに、ユーザーは最初から不正なドメインからの認証を既に禁止されています。 Forgeで承認済みドメインを設定できます。

  • firebaseのURLをブラウザーに入力します(例 https://INSTANCE.firebaseio.com/
  • ログインする
  • [認証]タブをクリックします
  • ドメインを承認済みリクエストオリジンのリストに追加します
  • 使用する「プロバイダー」を選択し、それに応じて構成します

データを保護するために、[セキュリティ]タブに移動してセキュリティルールを追加します。適切な出発点は次のとおりです。

{
   "rules": {
       // only authenticated users can read or write to my Firebase
       ".read": "auth !== null",
       ".write": "auth !== null"
   }
}

セキュリティルールは大きなトピックです。 概要を読んでこのビデオを見て速度を上げてください

41
Kato