Các giá trị như apiKey, authDomain, projectId, v.v. đều không cần bảo mật — Firebase thiết kế để chúng có thể public (chúng sẽ lộ khi build app client).

Firebase dựa vào security rules (Firestore rules, Storage rules) để bảo vệ dữ liệu — không phải bằng cách giấu apiKey.

Firestorage không thích hợp để host file scorm

Nguyên nhân

SCORM thường sử dụng relative path để load các script, ví dụ trong indexAPI.html:

html

CopyEdit

<script src="scormdriver.js"></script>

Tức là file scormdriver.js phải nằm cùng thư mục với indexAPI.html.

👉 Nhưng nếu bạn upload như sau:

• indexAPI.html nằm ở:
  scorm-packages/lesson-id/scormdriver/indexAPI.html

• Còn các file .js nằm ở:
  scorm-packages/lesson-id/scormdriver/driverOptions.js, v.v.

=> Đúng rồi! Nhưng vẫn lỗi 404 vì Firebase Storage không phục vụ được các file phụ qua <iframe> một cách tự động.