SB-010Informativodata-store

Divulgação de contagem via Content-Range

Sinaliza quando a API devolve a contagem total de linhas mesmo em listagens anônimas.

Por que importa

Contagem é informação — um atacante consegue saber quantos usuários, pedidos ou registros sensíveis você tem, o que ajuda a priorizar ataques mais agressivos.

Como corrigir

Desabilite `count=exact` para a role anon ou limite o header `Range-Unit` nas políticas do PostgREST.

Verificar a correção

SB-010 · verifynão-destrutivo

curl -sI "$SUPABASE_URL/rest/v1/<tabela>" -H "apikey: $ANON_KEY" -H 'Prefer: count=exact'

Referências

Supabase — Row Level Security
PostgREST — Authentication