Express-Validator 中默认对象引用的陷阱与修复方案

问题背景

在 Express-Validator 7.2.0 版本中，开发者发现了一个关于默认值处理的严重问题。当使用对象作为字段的默认值时（例如 .default({})），系统会在多个请求间共享同一个对象引用，而不是为每个请求创建新的对象实例。

问题现象

假设我们在验证链中这样定义：

body('data').default({ id: 1 })

在第一个请求中，如果修改了这个默认对象（例如增加 id 值），后续所有请求都会接收到被修改后的对象，而不是初始的 { id: 1 }。这会导致严重的数据污染问题。

技术原理

这个问题的本质在于 JavaScript 的对象引用特性。当我们将一个对象字面量作为默认值时，Express-Validator 在内部直接存储了这个对象的引用。由于 Node.js 是单线程事件循环架构，这个对象会在整个应用生命周期中保持存活，导致所有请求都访问同一个对象实例。

影响范围

这个问题不仅影响 default() 方法，同样也影响了 replace() 方法。任何需要创建新对象实例的场景都可能遇到类似的引用共享问题。

解决方案

Express-Validator 团队在 7.2.1 版本中修复了这个问题。修复方案的核心是确保每次处理请求时都创建新的对象实例，而不是复用之前的引用。

最佳实践

即使问题已经修复，开发者在使用对象作为默认值时仍应注意：

1. 对于简单值，直接使用字面量即可

   .default('value')
   

2. 对于对象，可以考虑使用函数返回新实例

   .default(() => ({ id: 1 }))
   

3. 对于需要动态生成的默认值，总是使用工厂函数模式

升级建议

所有使用 Express-Validator 7.2.0 版本的项目都应尽快升级到 7.2.1 或更高版本，特别是那些在验证链中使用对象作为默认值的场景。

总结

这个案例很好地展示了 JavaScript 中对象引用可能带来的隐蔽问题。在中间件开发中，特别是涉及请求间状态隔离的场景，开发者需要特别注意值类型的处理方式。Express-Validator 的这次修复提醒我们，即使是经过充分测试的库，也可能在某些边界条件下出现意外行为。