我正在node.js中的一个项目上工作,该项目使用mongoose处理MongoDB。我想防御XSS攻击。建议的方法是什么?我找到了这个:
https://www.npmjs.com/package/mongoose-sanitizer
行得通吗?我正在寻找不需要检查每个输入的解决方案。
答案 0 :(得分:2)
mongo-sanitize是清理所有输入的最佳选择。您可以直接在Mongoose操作中进行清理,或者可能更好,在服务器收到输入时立即进行清理。
var sanitize = require("mongo-sanitize");
MongooseModel.update({ value: sanitize(input) }, function(err, doc) {
// ...
});
您要避免的攻击类型称为NoSQL injection。