Apollo Server 中关于 API 大规模赋值漏洞防护的探讨

背景介绍

在 GraphQL API 安全领域，API 大规模赋值（Mass Assignment）是一个需要关注的问题。这种问题可能允许用户通过请求体传递预期之外的字段，可能导致权限问题、数据修改或机制绕过等情况。

问题本质

在 Apollo Server 的实现中，GraphQL 请求体通常包含 operationName、variables、query 和 extensions 等标准字段。然而，Apollo Server 默认会静默忽略请求体中包含的非标准字段，而不是返回 400 错误响应。

安全团队的考虑

安全扫描团队通常期望 API 服务能够严格执行请求体字段验证，对于包含非预期字段的请求应当明确拒绝并返回错误响应。这种严格验证可以防止用户尝试通过添加额外字段来探测系统问题。

技术实现方案

开发团队可以创建自定义插件来实现严格的字段验证。该插件通过以下方式工作：

1. 在请求处理早期阶段（didResolveSource 钩子）检查请求体
2. 对比请求字段与预定义的允许列表（通常包含标准 GraphQL 字段）
3. 发现非预期字段时抛出特定错误（如 400 Bad Request）
4. 通过异常处理确保错误正确传播

Apollo 官方的立场

Apollo 团队出于以下考虑不打算将此验证作为默认行为：

1. 规范兼容性：GraphQL-over-HTTP 规范允许未来扩展，严格验证可能阻碍新特性的逐步采用
2. 历史经验：过去添加 extensions 字段时，严格验证的服务器造成了兼容性问题
3. 灵活性：插件系统已经提供了实现自定义验证的途径

安全建议

对于需要严格安全控制的环境，建议：

1. 实现类似的自定义验证插件
2. 在组织内部明确安全要求与兼容性需求的平衡点
3. 考虑在 API 网关层添加额外的请求验证

总结

虽然 Apollo Server 默认不提供严格的请求体字段验证，但其插件系统足够灵活，允许开发团队根据自身安全需求实现定制化的解决方案。在安全与兼容性之间做出合理权衡是每个团队需要根据具体场景决定的事项。