Javascript Firebase公共用户访问限制和防止恶意攻击
我想创建一个单页应用程序,公众用户可以上传照片,任何访问该网站的人都可以喜欢/不喜欢这些照片。我正在使用Firebase数据库和存储Javascript Firebase公共用户访问限制和防止恶意攻击,javascript,firebase,Javascript,Firebase,我想创建一个单页应用程序,公众用户可以上传照片,任何访问该网站的人都可以喜欢/不喜欢这些照片。我正在使用Firebase数据库和存储 我的问题是如何避免任何恶意活动,例如通过脚本添加图像并喜欢它们?我可以限制访问或使用CSRF令牌吗?或者,避免此类攻击的唯一方法是对用户进行身份验证吗?如果要将上载限制在用户密钥中,则必须对用户进行身份验证。将写访问权限设置为该用户和管理员。您可以将客户端的ip与时间戳一起散列到Firebase本身的查找表中,并使用cloud fn中的规则或逻辑来确保您不会受到来
我的问题是如何避免任何恶意活动,例如通过脚本添加图像并喜欢它们?我可以限制访问或使用CSRF令牌吗?或者,避免此类攻击的唯一方法是对用户进行身份验证吗?如果要将上载限制在用户密钥中,则必须对用户进行身份验证。将写访问权限设置为该用户和管理员。您可以将客户端的ip与时间戳一起散列到Firebase本身的查找表中,并使用cloud fn中的规则或逻辑来确保您不会受到来自同一位置的攻击。第一选择不会增加任何成本,但更有限;第二种选择意味着您为每个插入运行一个函数,但可以运行更复杂的防御 也许你可以使用Firestore做一些更有用的事情?尽管缺少了一些东西,但规则系统更为稳健
但是,我建议,如果你没有当前或紧迫的垃圾邮件问题,不要试图先解决这个问题:在建造仓库之前不要考虑粉刷仓库。鉴于很难欺骗ip,你的建议会奏效。但我更多的是为了遵守消防队的规定。在车库的类比上,我完全同意。