我有一个基于 GitHub 页面的个人网站。它的一些页面需要从我自己创建的Firebase实时数据库中读取数据,并通过HTML显示数据。
对于数据库的安全规则,我的第一个计划是只允许我作为所有者有写权限,并允许每个人有读权限(无论如何,所有数据在我的网站上都是公开可见的),所以我编写了规则如下:
{
"rules": {
".read": true,
".write": false
}
}
但是,我不断收到警告说这些规则不安全。我已经阅读了文档,但我仍然不知道如何编写可接受的规则集适合我的情况。
没有必要让每个人都被允许读取数据库 - 如果只有我的网站可以访问数据库(并且在使用本地主机测试它时),这对我来说也是一个选择。尽管所有数据都应该是公开的。但我也不知道该怎么做。
有人可以帮忙吗?
正如您在评论中所说,您没有使用 Firebase 身份验证,这是安全规则可用于限制每个用户对实时数据库的访问的唯一方式。这本质上是有问题的,除非您不介意任何有互联网连接的人通过单个请求读取您的整个数据库。