我一直在阅读有关如何在快速后端中防止“ mongo注入”的方法。我通常使用包express-validator清理和验证我的输入。
例如:
{"username": {"$ne": null}} //possible injection
.check('username').isString() //simple validation
您是否仅验证值是字符串?
据我了解,解决方案是确保传递给我的端点的JSON有效负载的密钥中不允许“ $”或将其删除。别人如何防止这种情况发生?有没有一种方法可以遍历整个POSTed有效负载,并删除键中包含“ $”的任何键值对?只是好奇我是否缺少明显的东西。