Mongoose 安全查询：如何防止 NoSQL 注入与类型强制转换问题

在 MongoDB 和 Mongoose 的开发实践中，数据验证和查询安全是开发者经常面临的重要挑战。许多项目在控制器层和数据层都实现了重复的验证逻辑，这不仅增加了代码复杂度，还可能导致潜在的安全风险。

问题背景

Mongoose 作为 Node.js 中最流行的 MongoDB ODM，提供了 Schema 验证机制。开发者可以在 Schema 中定义字段类型和验证规则，例如：

const userSchema = new mongoose.Schema({
  name: {
    type: String,
    required: true,
    validate: val => /^[a-zA-Z]+$/.test(val)
  }
});

然而，当这些数据被用于查询时，Mongoose 默认会尝试进行类型转换，这可能导致 NoSQL 注入风险。例如，当用户输入被直接用于查询时：

// 危险：可能存在风险
const users = await User.find({ name: req.query.name });

攻击者可以构造特殊查询条件来获取未授权的数据访问。

Mongoose 的安全解决方案

1. sanitizeFilter 选项

Mongoose 6.0 引入了 sanitizeFilter 选项，可以防止查询操作符注入：

const users = await User.find({ name: req.query.name })
  .setOptions({ sanitizeFilter: true });

这个选项会阻止以 $ 开头的查询操作符，防止攻击者注入 $gt、$regex 等操作。

2. 禁用类型强制转换

对于需要严格类型匹配的场景，可以全局禁用特定类型的自动转换：

// 禁用 String 类型的自动转换
mongoose.Schema.Types.String.set('cast', false);

设置后，Mongoose 将严格检查输入类型，不符合 Schema 定义的类型会抛出 CastError。

3. 查询级别的类型控制

在特定查询中，可以结合使用 sanitizeFilter 和类型检查：

const users = await User.find({ name: req.query.name })
  .setOptions({ 
    sanitizeFilter: true,
    cast: false // 严格类型检查
  });

最佳实践建议

1. 始终启用 sanitizeFilter：对于所有用户输入参与的查询，都应该启用此选项

2. 合理使用类型转换：根据业务需求决定是否禁用自动类型转换

3. 分层验证：

   • 在控制器层进行基本格式验证
   • 在 Schema 层定义业务规则验证
   • 在查询时启用安全选项

4. 测试安全边界：特别测试数组、对象等复杂类型的输入处理

通过这些措施，开发者可以在保持代码简洁的同时，有效提升 Mongoose 应用的安全性，避免 NoSQL 注入和意外类型转换带来的问题。