Express 5.0 路由正则表达式变更解析

Express 5.0 版本中一个重要的变更是对路由路径正则表达式支持的调整。这个变更影响了开发者使用正则表达式定义路由的方式，特别是那些在路由字符串中嵌入正则表达式模式的写法。

在 Express 4.x 及更早版本中，开发者可以直接在路由路径字符串中使用正则表达式语法。例如，可以这样定义路由：

app.get('/product/:id([0-9]+)', handler);

或者使用字符组：

app.get('/[discussion|page]/:slug', handler);

然而，Express 5.0 出于安全考虑，完全移除了对路由字符串中正则表达式语法的支持。这一变更主要是为了解决潜在的正则表达式拒绝服务(ReDoS)攻击风险。当 Express 5.0 遇到包含正则表达式字符的路由字符串时，会抛出类似以下的错误：

TypeError: Unexpected [ at 1, expected END

对于需要正则表达式匹配的场景，Express 5.0 提供了两种替代方案：

1. 使用路由数组：将多个路径模式放入数组中

app.get(['/discussion/:slug', '/page/:slug'], handler);

2. 直接使用正则表达式对象：当确实需要正则匹配时

app.get(/^\/product\/([0-9]+)$/, handler);

需要注意的是，直接使用正则表达式对象虽然可行，但并不推荐，因为它仍然存在 ReDoS 风险。更好的做法是在路由处理函数中进行参数验证。

对于常见的用例，如数字ID验证，建议采用以下模式：

app.get('/product/:id', (req, res, next) => {
  if (!/^[0-9]+$/.test(req.params.id)) {
    return next(); // 或者返回错误响应
  }
  // 正常处理逻辑
});

这一变更虽然短期内可能带来迁移成本，但从长远来看提高了应用的安全性。开发者应该逐步调整现有代码，采用更安全的参数验证方式，而不是依赖路由级别的正则匹配。

对于需要捕获所有路由的特殊情况（如404处理），可以使用：

app.get('*', notFoundHandler);

Express 5.0 的这一调整反映了现代Web开发中安全优先的理念，鼓励开发者采用更明确、更安全的参数验证方式，而不是将复杂的验证逻辑嵌入到路由定义中。