允许用户指定MongoDB对象UUID的安全漏洞吗? (NodeJS)

时间:2018-10-17 00:35:16

标签: node.js mongodb uuid

对于我们的应用程序,我们使用MongoDB,但是将ID替换为UUID。前端应用程序生成UUID并将其发送回我们的NodeJS后端。然后后端检查它是否是有效的UUID并将其用作MongoDB对象ID。

我的问题是,允许前端应用程序/用户指定此UUID用作MongoDB对象的ID是否安全(出于安全考虑)?

我的想法是: 1.如果用户指定了重复的ID,则MongoDB驱动程序将不会插入对象(仅当用户手动将其POST到NodeJS API时才会发生) 2.如果用户指定了无效的ID,则该请求将被丢弃。

还有什么我想念的吗?

谢谢!还请让我知道问题的任何部分不清楚。

0 个答案:

没有答案