【发布时间】:2020-10-25 04:34:09
【问题描述】:
我想为您提供的案例研究如下。
我有一个使用付款计划的应用程序,黑客获取源代码并进行大量查询,所以我会白白付出很多钱。
是否有 Firebase 方面的方法来防止/限制这种情况?
谢谢。
【问题讨论】:
标签: android firebase firebase-realtime-database google-cloud-firestore firebase-security
【发布时间】:2020-10-25 04:34:09
【问题描述】:
如果您的安全规则允许从 Web 和移动客户端直接查询,则无法限制这些查询。被允许查询的人将能够不受限制地进行查询。您真正能做的就是让它变得更加困难,但黑客承担费用并非不可能。这是所有向公众开放的基于云的服务的一般规则。
如果您想知道帐单是否超出您的预期,您可以设置budget alerts,以便在发生这种情况时通知您。
如果您必须对查询设置限制,则需要调整安全规则以禁止来自网络和移动客户端的所有查询,而是强制所有查询通过您控制的后端。您的后端将需要施加您想要的限制。
如果您怀疑您的项目存在滥用行为,您应该contact Firebase support directly 举报。
【讨论】: