Firestore Hacker案例研究

Question

我想向您提供的案例研究如下。

我有一个使用付款计划的应用程序，黑客得到了源代码并进行了大量的查询，所以我会花很多钱却一无所获。

有没有防止/限制这种情况的火基旁路？

谢谢。

Answer 1

如果您的安全规则允许从web和移动客户端直接查询，则无法执行任何操作来限制这些查询。被允许查询的人将能够不受限制地进行查询。你真正能做的就是让它变得更难，但黑客也不是不可能产生成本的。这是所有基于云的服务向公众开放的一般规则。

如果你想知道账单是否超出了你的预期，你可以设置budget alerts让你知道什么时候会发生。

如果您必须限制查询，您将需要调整您的安全规则，以禁止来自web和移动客户端的所有查询，而不是强制所有查询通过您控制的后端。你的后端需要施加你想要的限制。

如果你怀疑你的项目中有滥用行为，你应该用contact Firebase support directly来报告它。