Firebase 的跨域政策是啥?
Posted
技术标签:
【中文标题】Firebase 的跨域政策是啥?【英文标题】:What is Firebase's cross-domain policy?Firebase 的跨域政策是什么? 【发布时间】:2013-10-29 11:32:28 【问题描述】:Firebase 如何处理跨源问题,有哪些潜在的安全问题以及如何处理这些问题?
【问题讨论】:
【参考方案1】:连接方式
有多种方式可以与 Firebase 服务器通信,其中包括:
Firebase 客户端 - 官方支持的客户端库之一,目前包括 javascript(适用于 Web 和 Node.js)、ObjC(ios 和 Mac OS-X)和 JVM(android 和 Java)。 REST API - 可通过https://<your-firebase>.firebaseio.com
访问。
CORS 政策
Firebase 使用完全允许的跨域资源共享 (CORS) 政策,这意味着您可以从任何来源向 Firebase 服务器发出请求。这是可能的,因为 Firebase不使用 Cookie 或传统会话来管理哪些请求获得授权,哪些请求未获得授权。
跨域策略文件 (Flash)
同样,Firebase 使用完全许可的跨域策略文件,只要求通过 SSL 发出请求。请参阅https://demo.firebaseio-demo.com/crossdomain.xml 处的政策文件。
安全概述
Firebase 依赖 flexible authentication system 和 expression-based rules language 来管理哪些请求获得授权,哪些请求未获得授权。
为了使请求获得授权,请求必须包含Firebase Authentication Token,这是一种在您的服务器(或身份验证提供程序,如果使用Firebase Simple Login)和操作(以及相应的data) 必须通过开发者定义的安全规则。
Firebase 可通过客户端库或 REST API 从任何地方访问,使您能够仅使用客户端代码构建完全安全的应用程序。前往Quickstart Guide,开始使用 Firebase 身份验证。
【讨论】:
以上是关于Firebase 的跨域政策是啥?的主要内容,如果未能解决你的问题,请参考以下文章
由于“sameorigin”政策,Google Docs Viewer 不会在 iframe 中显示 Firebase 存储 URL