Задать вопрос
@likejavascript
javascript

Нужно ли фильтровать значения, записываемые в MongoDB?

На текущий момент фильтрую все, что должно попадать в MongoDB с помощью validator.js

var value = sanitizer.sanitize('возможный xss');
db.collection.update({"_id": ObjectId(...)}, {"name": value});


Но начал задумываться, нужно ли это? Поскольку на клиенте перед выводом данных все проходит через 
var HTML_CHARS = {
   '&': '&',
   '<': '&lt;',
   '>': '&gt;',
   '"': '&quot;',
   "'": '&#x27;',
   '/': '&#x2F;',
    '`': '&#x60;'
}

var escapeHTML = function (html) {
  return html.replace(/[&<>"'\/`]/g, function (match) {
      return HTML_CHARS[match];
  });
};

var cleaned = escapeHTML("возможный xss");


Как считаете?
  • Вопрос задан
  • 2483 просмотра
Комментировать
Подписаться 3 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 2
maxaon
@maxaon
Проверка на xss должна производится при генерации html. Проверка при сохранении - лишь дополнительный плюс. И по поводу проверки на xss https://github.com/chriso/validator.js#deprecations

Для монги, как и для любой СУБД важна проверка на инъекции. Можете начать со статьи на хабре и статьи о null byte
Ответ написан
Комментировать
Комментировать
ghaiklor
@ghaiklor
NodeJS TechLead
Можете использовать ORM Waterline, где валидаторы уже есть.
А вообще лучше делать проверки и на клиенте и на сервере - всё верно :)
Ответ написан
2 комментария
2 комментария
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
JavaScript разработчик
summer Ярославль
от 100 000 до 140 000 ₽
Junior JavaScript Developer
КРАФТТЕК Санкт-Петербург
от 60 000 до 80 000 ₽
JavaScript разработчик
Мэтч
от 80 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Скопировать сайт
19 апр. 2024, в 17:06
15000 руб./за проект
Поправить пхп скрипт
19 апр. 2024, в 16:53
1000 руб./за проект
Требуется настройка Яндекс Директа
19 апр. 2024, в 16:45
5000 руб./за проект
Ещё заказы