express-validator

하주영·2024년 4월 29일

node.js

목록 보기

8/15

💡 express-validator는 'validator.js'에서 제공하는 다양한 유효성 검사기와 정제기를 감싸는 Express.js 미들웨어 이다.

입력 데이터의 유효성 검사 (validator)

입력 데이터를 특정 형식에 맞게 변환하거나 정리하는 데 사용 (sanitizer) (예시)문자 => 숫자 변환

설치하기

npm install express-validator

입력 검사 필드

req.body
req.cookies
req.headers
req.query
req.params

입력 데이터의 유효성 검사

import express from 'express'
import { query, validationResult } from 'express-validator';

app.get('/', query('person').notEmpty(), (req, res) => {
  const err = validationResult(req);
  if (err.isEmpty()) {
	  // 성공 시 로직 
    return res.send(`Hello, ${req.query.person}!`);
  }

	// 실패 시 로직
   res.send({ errors: err.array() });
});

errors 에는 다음과 같은 내용이 담긴다.

{
  "errors": [
    {
      "type": "field",
      "msg": "Invalid value",
      "path": "person",
      "location": "query"
    }
  ]
}

인자가 2개 이상일 때?

배열로 보낼 수 있다.
추가적으로 msg도 지정할 수 있다.

[
      body("userId")
        .notEmpty().withMessage("요청값을 제대로 보내주세요")
        .isInt().withMessage("숫자를 보내주세요"),
      body("title")
      .notEmpty()
      .isString().withMessage("문자를 보내주세요"),
]

주의사항

입력값에 HTML를 삽입할 수 있는 문제가 있다.
이것을 XSS 취약점 공격이라고 하는데 http://localhost:3000/hello?person=<b>John</b>으로 이동하면 "Hello, John!" 이라고 출력이 된다.
만약 해커가 John을 삽입하는 대신 실제 악성코드를 삽입하면 보안에 문제가 생길 수 있다.
이를 방지하는 escape() 함수가 있다.

escape()는 HTML 문자를 텍스트로 변환하는 정제기를 사용하는 것

import express from 'express'
import { query, validationResult } from 'express-validator';

app.get('/', query('person').notEmpty().escape(), (req, res) => {
  const err = validationResult(req);
  if (err.isEmpty()) {
	  // 성공 시 로직 
    return res.send(`Hello, ${req.query.person}!`);
  }

	// 실패 시 로직
   res.send({ errors: err.array() });
});

변경 후 Hello, <b>John</b>! 이 표시된다.

유효성 검사를 확인하는 미들웨어 분리하기

// 미들웨어
const validate = (req, res, next) => {
  const err = validationResult(req);

  if (!err.isEmpty()) {
    return res.send({ errors: err.array() });
  }

  // 유효성 검사가 통과했을 경우 다음 미들웨어로 제어를 넘김
  return next();
};

app.get('/', [query('person').notEmpty().escape(), validate], (req, res) => {
  console.log(req.query);
  return res.send(`Hello, ${req.query.person}!`);
});

참고문서
https://express-validator.github.io/docs/guides/getting-started

하주영

이전 포스트

timezone 설정

다음 포스트