use*_*943 7 javascript firebase google-cloud-functions
我正在使用 firebase 云函数,第一次看到 cors 然后将 origin 设置为 true .. 但是这样任何人都可以访问我的函数,所以我寻找了一种只允许特定域访问我的云函数的方法,我得到了来自 cors github 页面的代码并尝试了它,但我在等待和等待后意外关闭了连接。
这是我的函数 index.js --
const functions = require('firebase-functions');
const cors = require('cors');
var whitelist = ['http://example1.com', 'http://example2.com']
var corsOptionsDelegate = function (req, callback) {
var corsOptions;
if (whitelist.indexOf(req.header('Origin')) !== -1) {
corsOptions = { origin: true } // reflect (enable) the requested origin in the CORS response
}else{
corsOptions = { origin: false } // disable CORS for this request
}
callback(null, corsOptions) // callback expects two parameters: error and options
}
exports.api = functions.https.onRequest((req, res) => {
cors(req, res, () => {
var d = new Date();
var n = d.getHours();
if (n > 8 && n < 17) {
res.status(200).send("Get started")
} else {
res.status(200).send("Closed")
}
})
});
对于 Firebase Cloud Functions 上的 HTTP 触发函数,cors 中间件origin参数将是undefined ,请求标头Origin值也是如此:
var whitelist = ['https://example1.com']
var corsOptions = {
origin: function (origin, callback) {
console.log(origin) // undefined
if (whitelist.indexOf(origin) !== -1) {
callback(null, true)
} else {
callback(new Error('Not allowed by CORS'))
}
}
}
app.get('/products/:id', cors(corsOptions), function (req, res, next) {
console.log(req.header('Origin')) // undefined
res.json({msg: 'This is CORS-enabled for a whitelisted domain.'})
})
Origin除非您在向函数发出请求时自己设置标头。例如:
await http.get(
'https://example1.com/yourfunction',
headers: {
"Origin": "https://example2.com",
},
);
问题是任何人都可以编写上述请求(Origin标头可以伪造),因此本文提出了一种更简单的验证访问权限的方法,即发送 Firebase Auth 在您登录时生成的令牌之类的内容(或您可以向发送方提供他们需要发送的密钥):
await http.get(
'https://example1.com/yourfunction',
headers: {
"Authorization": "Bearer your_api_token_here",
},
);
然后,您将在云功能中验证它是否合法(而不是检查潜在的虚假来源)。
| 归档时间: |
|
| 查看次数: |
2511 次 |
| 最近记录: |