我想创建一个单页应用程序,公共用户可以在其中上传照片,而访问该网站的任何人都可以喜欢/不喜欢这些照片。我正在使用Firebase数据库和存储。
我的问题是如何避免任何恶意活动,例如通过脚本添加图像并喜欢它们?我可以限制访问或使用CSRF令牌吗?还是避免这种攻击的唯一方法是对用户进行身份验证?
答案 0 :(得分:2)
您可以将客户端的ip与时间戳一起哈希到Firebase本身的查找表中,并在云fn中使用规则或逻辑来确保您不会从同一地方受到打击。首选不会增加任何成本,但会受到更多限制。第二种选择意味着您可以为每个插入片段运行一个函数,但可以运行更详尽的防御。
也许您可以使用Firestore做些更有用的事情?对于所有它缺少的东西,规则系统都更强大。
但是,我建议您,如果您当前没有垃圾邮件问题或紧迫的问题,请不要尝试首先解决此问题:不要在建造棚子之前考虑给棚子上漆。
答案 1 :(得分:1)
如果要将上传限制在用户的密钥中,则必须对用户进行身份验证。将写访问权限设置为该用户和管理员。