Вы, похоже, используете Firebase Admin SDK, который имеет возможность отправлять сообщения FCM.
Admin SDK предоставляет своему пользователю полный административный доступ к вашему проекту Firebase, что означает, что этот код может отправлять любой видсообщения всем вашим пользователям, но он также может получить доступ к любым другим ресурсам (файлы, базы данных, учетные записи пользователей) в вашем проекте по желанию.По этой причине Admin SDK предназначен только для использования в доверенной среде, такой как сервер, которым вы управляете, ваш компьютер для разработки или облачные функции.Он явно не должен использоваться на веб-страницах.
Типичный подход для достижения вашей цели - создать облачную функцию, которая отправляет правильное сообщение, а затем вызвать эту облачную функцию со своей веб-страницы.Поскольку только соавторы в вашем проекте Firebase могут развертывать облачные функции, таким образом вы можете быть уверены, что отправленное сообщение исходит из вашего кода.