Bubble 安全吗? 如何加固你的 Bubble 应用
Bubble 无需写代码就能构建完整 Web 应用——安全取决于隐私规则,以及不信任客户端。
简短回答
Bubble 是一个成熟的无代码平台,但它最大的安全陷阱众所周知:因为没有配置隐私规则而导致数据暴露。没有隐私规则时,Bubble 的 API 和页面数据任何人都能读取。请为每一种数据类型配置隐私规则,并避免依赖客户端条件来保证安全。
Bubble 是一个用于构建完整 Web 应用的成熟无代码平台,但它有一个被充分记录的安全陷阱:因为没有设置隐私规则而导致数据暴露。当某种数据类型没有隐私规则时,Bubble 自动生成的 API 和页面数据任何人都能读取——这是 Bubble 数据泄露的常见根源。在 Bubble 中保证安全,意味着为每一种数据类型配置隐私规则,并且绝不依赖客户端工作流或条件来保护数据。
Bubble 安全速览
- 平台类型
- 全栈无代码 Web 应用构建器
- 最常见风险
- 缺失隐私规则导致数据暴露
- 也要留意
- 仅在客户端做的安全;暴露的 API 工作流
- 如何检查
- 审计每一种数据类型的隐私规则
- 可以上线吗?
- 可以——在配置好隐私规则之后
Bubble 最常见的安全风险
缺失隐私规则
没有隐私规则的数据类型,任何人都能通过 Bubble 的 API 读取。请为每一种类型配置规则。
仅在客户端做的安全
隐藏元素或使用页面条件并不能保护数据——底层数据仍可被查询。请用隐私规则来强制执行。
暴露的 API 工作流
没有身份认证的公开 API 工作流,任何人都能调用。请在敏感端点上要求鉴权。
如何加固你的 Bubble 应用
60 秒检查你的 Bubble 应用
粘贴你已部署的网址,获取免费的上线就绪扫描,再在上线前拿到真人复核、带保险的放行许可。
Bubble 安全常见问题
- Bubble 适合用来做正式应用吗?
- 配置好隐私规则就适合。Bubble 是一个成熟的平台,但常见的失误是让数据类型缺少隐私规则,从而通过其 API 暴露数据。上线前请为每一种数据类型配置隐私规则。