1

これはほぼ間違いなくばかげた質問ですが、私は安全になりたいので、常に再確認する価値があると思います。

適切な認証(私の場合は1つのデータベースから1つのユーザーベースのCookieに基づく)がある限り、そのドキュメントに関連するすべてのGET / PUTで完全なドキュメントコンテンツ(つまり、を含む)_idを公開するリスクはありますか?_rev

つまり、コアデータだけでなく、ドキュメント全体を提供することで、更新がより簡単に改ざんされる可能性があるという考えられる方法はありますか?

_revをクライアントに公開する唯一の方法は、最新のリビジョン番号を取得するために、HEADそれぞれの前に[サーバー側]のリクエストを実行することです。これは狂気のようです。PUT

4

1 に答える 1

2

ドキュメント全体を提供すると、更新がより簡単に改ざんされる可能性はありません。

データベースごとのセキュリティを使用している場合は、完璧な基盤があります。

読み取りセキュリティを実施する主要なポリシーは_securityオブジェクトです。書き込みセキュリティを実施する主なポリシーはvalidate_doc_update関数です。

したがって、_idと_revは、アプリケーションのセキュリティ評価には考慮されないと思います。

于 2012-05-07T00:10:06.063 に答える