Express-Validator 默认对象引用问题解析与修复

问题背景

在 Express-Validator 7.2.0 版本中，开发者发现当使用对象作为字段的默认值时（例如 .default({})），会出现一个严重的问题：同一个对象实例会在多个请求之间共享，而不是为每个请求创建新的对象实例。

问题现象

假设我们在验证链中这样定义：

body('data').default({ id: 1 })

当第一个请求到来时，会创建一个新对象 { id: 1 }。但如果后续请求修改了这个对象（例如将 id 改为 2），那么所有后续请求都会得到修改后的对象，而不是预期的初始值 { id: 1 }。

技术原理

这个问题的根源在于 JavaScript 的对象引用特性。当我们将一个对象字面量作为默认值时，实际上是在验证器初始化时创建了一个对象实例，并在所有请求中共享这个实例的引用。

在 Express-Validator 的实现中，默认值处理逻辑没有对对象类型的默认值进行深拷贝或重新实例化，导致所有请求都操作同一个内存中的对象。

影响范围

这个问题不仅影响 default() 方法，同样也影响了 replace() 方法。任何需要为每个请求提供独立对象实例的场景都会受到影响。

解决方案

Express-Validator 团队在 7.2.1 版本中修复了这个问题。修复方案的核心是：

1. 对于对象类型的默认值，不再直接使用传入的引用
2. 在每次请求处理时，对对象类型的默认值进行深拷贝或重新实例化
3. 确保每个请求都能获得全新的对象实例

最佳实践

为了避免类似问题，开发者应该：

1. 对于动态默认值，考虑使用函数形式：

body('data').default(() => ({ id: 1 }))

2. 对于复杂对象，可以手动确保每次都是新实例：

body('data').default(JSON.parse(JSON.stringify(templateObject)))

3. 及时更新到最新版本的 Express-Validator

总结

这个问题的修复体现了 JavaScript 中对象引用特性的重要性。在中间件和验证器这类会被多个请求共享的代码中，特别需要注意避免共享可变状态。Express-Validator 的修复确保了验证逻辑的隔离性和一致性，是框架稳定性的重要改进。