28

我是 node.js 和 express 的新手,并且已经对它们进行了一段时间的试验。现在我对与解析请求正文相关的 express 框架的设计感到困惑。来自express的官方指南:

app.use(express.bodyParser());
app.use(express.methodOverride());
app.use(app.router);
app.use(logErrors);
app.use(clientErrorHandler);
app.use(errorHandler);

设置好所有中间件后,我们添加我们要处理的路由:

app.post('/test', function(req, res){ 
  //do something with req.body      
});

这种方法的问题在于,在检查路由有效性之前,将首先解析所有请求正文。解析无效请求的主体似乎非常低效。更重要的是,如果我们启用上传处理:

app.use(express.bodyParser({uploadDir: '/temp_dir'}));

任何客户端都可以通过上传任何文件(通过向任何路由/路径发送请求!!)来轰炸服务器,所有这些都将被处理并保存在“/temp_dir”中。我不敢相信这种默认方法正在被广泛推广!

我们当然可以在定义路由时使用 bodyParser 函数:

app.post('/test1', bodyParser, routeHandler1);
app.post('/test2', bodyParser, routeHandler2);

甚至可能在处理路由的每个函数中解析主体。但是,这样做很乏味。

有没有更好的方法可以将 express.bodyParser 仅用于所有有效(已定义)路由,并仅在选定路由上使用文件上传处理功能,而无需大量重复代码?

4

1 回答 1

32

你的第二种方法很好。请记住,您还可以将中间件函数数组传递给app.post,app.get和朋友。所以你可以定义一个数组uploadMiddleware,用你的东西来处理 POST 正文、上传等,并使用它。

app.post('/test1', uploadMiddleware, routeHandler1);

这些示例适用于初学者。帮助您在第一天就开始工作的初学者代码和高效且安全的生产代码通常是非常不同的。关于不接受上传到任意路径,您提出了一个肯定有效的观点。至于解析所有“非常低效”的请求主体,这取决于无效/攻击 POST 请求与发送到您的应用程序的合法请求的比率。在您的站点开始流行之前,攻击探测请求的平均背景辐射可能不足以担心。

这里还有一篇博文,其中详细介绍了 bodyParser 的安全注意事项。

于 2012-09-14T05:48:29.593 回答