Firebase 如何处理跨源问题,潜在的安全问题是什么,如何处理这些问题?
连接方式
有多种方法可以与 Firebase 服务器通信,其中包括:
- Firebase Client - 官方支持的客户端库之一,目前包括JavaScript(适用于Web和Node.js),ObjC(iOS和Mac OS-X)和JVM(Android和Java)。
- REST API - 可通过
https://<your-firebase>.firebaseio.com访问。
科尔斯政策
Firebase 使用完全宽松的跨源资源共享 (CORS) 政策,这意味着您可以从任何来源向 Firebase 服务器发出请求。这是可能的,因为 Firebase 不使用 Cookie 或传统会话来管理哪些请求已获得授权,哪些请求未获得授权。
跨域策略文件(闪存)
同样,Firebase 使用完全宽松的跨网域政策文件,仅要求通过 SSL 发出请求。请参阅 https://demo.firebaseio-demo.com/crossdomain.xml 中的策略文件。
安全概述
Firebase 依靠灵活的身份验证系统和基于表达式的规则语言来控制哪些请求获得授权,哪些请求未获得授权。
要使请求获得授权,请求必须包含 Firebase 身份验证令牌,这是一种在服务器(或使用 Firebase 简单登录管理器,则为身份验证提供商)之间安全共享数据的方式,并且操作(和相应的数据)必须通过开发者定义的安全规则。
Firebase 可通过客户端库或 REST API 从任何地方访问,并允许您仅使用客户端代码构建完全安全的应用。前往快速入门指南,开始使用 Firebase 身份验证。