Следует ли передавать клиенту параметр _id из БД mongodb?

Нет, передача параметра _id из базы данных MongoDB клиенту не является безопасной практикой. Передача таких уникальных идентификаторов может представлять угрозу безопасности, так как клиент может использовать их для доступа или изменения данных в базе данных.

Безопаснее использовать другие методы для передачи информации о данных, например, передавать только необходимую информацию клиенту, либо генерировать специальные токены или уникальные идентификаторы для доступа к определенным данным, которые не связаны напрямую с идентификаторами из базы данных.

Нет не опасно, но пользовательский ввод все равно нужно валидровать

Да опасно. Но зависит от конфигурации, при передаче id если он используется в запросах к бд без проверки то это может привести к инъекции. Конечно если конфигурация построена таким образом что защита на максимум то можно не бояться, но лучше этого избежать и найти другой способ для реализации.