是否可以在没有auth的情况下保护firebase http触发的功能并仅接受来自我的firebase托管应用程序的调用?
我希望我的Web应用程序与未经身份验证的用户调用firebase函数,但我不希望从其他任何地方访问此函数。
这是不可能强制执行的。所有其他客户端都可以访问您的所有HTTP功能,无论他们在世界的哪个位置(除非他们的网络中的某些东西阻止了它们)。
您当然可以尝试猜测请求是否来自您的网站(通过查看引用者标题),但攻击者很容易欺骗该信息。