Firebase的跨域策略是什么？

Question

14

Firebase是如何处理跨域问题的，涉及到哪些安全问题以及它们是如何处理的？

- Rob DiMarco

1个回答

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- Rob DiMarco · Accepted Answer

与 Firebase 服务器进行通信的方式有多种，包括：

Firebase 客户端 - 官方支持的客户端库之一，目前包括 JavaScript（用于 Web 和 Node.js）、ObjC（iOS 和 Mac OS-X）和 JVM（Android 和 Java）。
REST API - 可通过 https://<your-firebase>.firebaseio.com 访问。

Firebase 使用完全宽松的跨源资源共享（CORS）策略，这意味着您可以从任何来源向 Firebase 服务器发出请求。这是可能的，因为 Firebase 不使用 cookie 或传统会话来管理哪些请求已获授权，哪些请求未获授权。

同样，Firebase 使用完全宽松的跨域策略文件，只需要通过 SSL 进行请求即可。请参见 https://demo.firebaseio-demo.com/crossdomain.xml 上的策略文件。

Firebase依赖于灵活的身份验证系统和基于表达式的规则语言来管理哪些请求被授权，哪些不被授权。

为了使请求获得授权，请求必须包括一个Firebase身份验证令牌，这是一种安全地在您的服务器（或身份验证提供者，如果使用Firebase简单登录）和操作之间共享数据的方式，并且相应的数据必须通过开发人员定义的安全规则。

Firebase可以通过客户端库或REST API从任何地方访问，并且只使用客户端代码即可构建完全安全的应用程序。请前往快速入门指南开始使用Firebase身份验证。