Firebase 的跨域政策是啥？

Posted 2023-03-04

【中文标题】Firebase 的跨域政策是啥？

【英文标题】：What is Firebase's cross-domain policy?Firebase 的跨域政策是什么？

【发布时间】：2013-10-29 11:32:28

【问题描述】：

Firebase 如何处理跨源问题，有哪些潜在的安全问题以及如何处理这些问题？

【参考方案1】：

连接方式

有多种方式可以与 Firebase 服务器通信，其中包括：

Firebase 客户端

- 官方支持的客户端库之一，目前包括 javascript（适用于 Web 和 Node.js）、ObjC（ios 和 Mac OS-X）和 JVM（android 和 Java）。

REST API

- 可通过 https://<your-firebase>.firebaseio.com 访问。

CORS 政策

Firebase 使用完全允许的跨域资源共享 (CORS) 政策，这意味着您可以从任何来源向 Firebase 服务器发出请求。这是可能的，因为 Firebase不使用 Cookie 或传统会话来管理哪些请求获得授权，哪些请求未获得授权。

跨域策略文件 (Flash)

同样，Firebase 使用完全许可的跨域策略文件，只要求通过 SSL 发出请求。请参阅https://demo.firebaseio-demo.com/crossdomain.xml 处的政策文件。

安全概述

Firebase 依赖 flexible authentication system 和 expression-based rules language 来管理哪些请求获得授权，哪些请求未获得授权。

为了使请求获得授权，请求必须包含Firebase Authentication Token，这是一种在您的服务器（或身份验证提供程序，如果使用Firebase Simple Login）和操作（以及相应的data) 必须通过开发者定义的安全规则。

Firebase 可通过客户端库或 REST API 从任何地方访问，使您能够仅使用客户端代码构建完全安全的应用程序。前往Quickstart Guide，开始使用 Firebase 身份验证。