如何保護蒙古語中的字段不受大規模分配？

Question

甲貓鼬模型，東西，有兩個字段，其（安全的）只有一個的應通過mass assignment是可設置的：

var db = require('mongoose'); 

var schema = new db.Schema({ 
    safe: { type: String }, // settable through mass assignment 
    unsafe: { type: String } // not settable through mass assignment 
}); 

db.model('Thing', schema); 

控制器通過使參數設置件事：

exports.create = function(req, res) { 
    var thing = new Thing(req.body); 

    // more... 
}; 

攻擊者可以嘗試通過設置不安全的JSON POST請求來設置thing.unsafe。這應該被阻止。

如果像Mongoose的Rails attr_accessible功能一樣可用，那將會很棒。我確實找到了mongoose-mass-assign，但這不像我想要的。首先，貓鼬大規模分配顯然需要使用新的API（兩個質量分配函數）。我想要傳遞params散列的任何本地Mongoose模型函數的質量保護，例如Thing構造函數和Thing.create函數。

如何獲得Mongoose模型的質量分配保護？如果不可用，Mongoose用戶目前如何防範此漏洞？

Answer 1

捂臉：

var thing = new Thing(req.body); 

稍有理智的：

var okFields = {}; 
okFields.safe = req.body.safe 
var thing = new Thing(okFields); 
//Also helpful for longer whitelists from underscore: _.pick(req.body, "safe"); 
//Also feel free to add some, y'know, data validation either here or in mongoose 

只是不這樣做。 Rails教會了你一個可怕的反模式。但是要回答你的問題，AFAIK mongoose和mongodb沒有任何機制來執行任何類似於rails的attr_accessible或任何受污染變量的概念。