これはほぼ間違いなくばかげた質問ですが、私は安全になりたいので、常に再確認する価値があると思います。
適切な認証(私の場合は1つのデータベースから1つのユーザーベースのCookieに基づく)がある限り、そのドキュメントに関連するすべてのGET / PUTで完全なドキュメントコンテンツ(つまり、を含む)_id
を公開するリスクはありますか?_rev
つまり、コアデータだけでなく、ドキュメント全体を提供することで、更新がより簡単に改ざんされる可能性があるという考えられる方法はありますか?
_rev
をクライアントに公開する唯一の方法は、最新のリビジョン番号を取得するために、HEAD
それぞれの前に[サーバー側]のリクエストを実行することです。これは狂気のようです。PUT