如何在 Ionic 应用程序的 Chrome 远程调试中隐藏内容(API 键等)?
How to hide things (API keys, etc) from Chrome Remote Debugging in Ionic app?
我在 Android 上有一个 Ionic 应用 运行。我可以连接 Chrome Remote Debugger 并在我的配置文件中看到 API 键等。有什么办法可以隐藏这些吗?
编辑:
我特别关注 Firebase,因为我的应用程序会直接与它通信。这种情况下有什么最佳做法吗?
你不能。
尽管您可以将其隐藏到一些奇怪的逻辑中,但您仍然不应该这样做。最安全的选择是将这些存储在您的服务器中,并将您需要的信息(不是密钥)传递回网络客户端。
TL;DR 不要将密钥发送到前端,除非您特别需要将其提供给用户。
我刚刚发现 index.html 的内容没有被调试器显示出来。 Ionic 建议把东西放在那里。但归根结底,HNeiva 是对的,你不应该把任何敏感的东西放在那里。万不得已才将其放入 index.html。
对于 Firebase 访问,意味着在客户端使用 API 键。这是使客户端能够访问 Firebase(而不仅仅是数据库)的方式。
话虽如此 'Security' 仍然是 Firebase 提供的问题和解决方法(此处为数据库访问)- 数据库规则。
最佳做法是使用数据库规则保护 Firebase 的实时数据库,并使客户端能够使用 API 密钥。
- Firebase Database Security Rules
- 关于 Firebase 安全的 video Google I/O
非常有趣
我在 Android 上有一个 Ionic 应用 运行。我可以连接 Chrome Remote Debugger 并在我的配置文件中看到 API 键等。有什么办法可以隐藏这些吗?
编辑:
我特别关注 Firebase,因为我的应用程序会直接与它通信。这种情况下有什么最佳做法吗?
你不能。 尽管您可以将其隐藏到一些奇怪的逻辑中,但您仍然不应该这样做。最安全的选择是将这些存储在您的服务器中,并将您需要的信息(不是密钥)传递回网络客户端。
TL;DR 不要将密钥发送到前端,除非您特别需要将其提供给用户。
我刚刚发现 index.html 的内容没有被调试器显示出来。 Ionic 建议把东西放在那里。但归根结底,HNeiva 是对的,你不应该把任何敏感的东西放在那里。万不得已才将其放入 index.html。
对于 Firebase 访问,意味着在客户端使用 API 键。这是使客户端能够访问 Firebase(而不仅仅是数据库)的方式。
话虽如此 'Security' 仍然是 Firebase 提供的问题和解决方法(此处为数据库访问)- 数据库规则。
最佳做法是使用数据库规则保护 Firebase 的实时数据库,并使客户端能够使用 API 密钥。
- Firebase Database Security Rules
- 关于 Firebase 安全的 video Google I/O 非常有趣