ما هي أفضل الممارسات الأمنية الرئيسية لتطبيق Node.js؟

Question

Accepted Answer

تأمين تطبيق Node يعني الدفاع ضد الثغرات الويب الشائعة (OWASP Top 10) على طبقات متعددة — معالجة المدخلات، المصادقة، الاعتماديات، والتكوين. الأمان معماري متعدد الطبقات (defense in depth)، وليس إصلاح واحد.

## 1. التحقق من صحة وتنظيف جميع المدخلات

```js
import { z } from "zod";
// never trust client input — validate shape/type before using it
const schema = z.object({ email: z.string().email(), age: z.number().min(0) });
const data = schema.parse(req.body); // rejects malformed/malicious input
```

## 2. منع الحقن (SQL و NoSQL والأوامر)

```js
// ❌ string concatenation → SQL injection
db.query(`SELECT * FROM users WHERE id = ${req.params.id}`);
// ✅ parameterized queries — input is data, never executable SQL
db.query("SELECT * FROM users WHERE id = $1", [req.params.id]);
```

استخدم دائماً الاستعلامات المعاملية / ORM، ولا تبني أوامر من مدخلات المستخدم (انظر حقن الأوامر باستخدام `child_process`).

## 3. المصادقة والأسرار

```text
✓ Hash passwords with bcrypt/argon2/scrypt (slow + salted) — never plain/SHA
✓ Store secrets in env vars, never in code/git
✓ Use httpOnly, secure, sameSite cookies for sessions (XSS-resistant)
✓ Sign/verify JWTs properly; keep tokens short-lived
```

## 4. تعيين رؤوس الأمان وتحديد معدل الطلب

```js
import helmet from "helmet";
import rateLimit from "express-rate-limit";

app.use(helmet()); // sets secure HTTP headers (CSP, HSTS, X-Frame-Options, etc.)
app.use(rateLimit({ windowMs: 60_000, max: 100 })); // throttle abuse/brute-force
```

`helmet` يضيف رؤوس حماية؛ تحديد المعدل يدافع ضد الهجمات بالقوة الغاشمة و DoS.

## 5. الحفاظ على أمان الاعتماديات (سلسلة التوريد)

```bash
npm audit          # check installed packages for known vulnerabilities
npm audit fix
# + keep deps updated; review postinstall scripts; pin versions via the lockfile
```

معظم كود Node هو حزم طرف ثالث — الاعتماديات الضعيفة هي متجه هجوم رئيسي. قم بالتدقيق والتحديث بانتظام.

## 6. أساسيات أخرى

```text
✓ Use HTTPS (TLS) everywhere; redirect HTTP → HTTPS
✓ Don't leak error details/stack traces to clients in production
✓ Escape output to prevent XSS (frameworks usually do this)
✓ Implement proper authorization (not just authentication) — check permissions per action
✓ CORS configured to an allowlist, not "*" for credentialed APIs
✓ Limit request body size to prevent payload-based DoS
```

## لماذا هذا مهم

تطبيقات الويب هي أهداف مستمرة، وتطبيقات Node معرضة لكل نطاق ثغرات الويب — الحقن، المصادقة المكسورة، XSS، الاعتماديات الضعيفة، الإساءة في التكوين.

لا يكفي إجراء واحد؛ الأمان **معماري**: التحقق من المدخلات، معاملة الاستعلامات، hash كلمات المرور بشكل صحيح، إدارة الأسرار بأمان، تعيين رؤوس حماية، تحديد المعدل، التدقيق في الاعتماديات، واستخدام HTTPS.

فهم هذه الممارسات (والمخاطر OWASP وراءها) مسؤولية أساسية لأي شخص يبني خدمات Node الإنتاجية — حتى طبقة واحدة غير مراقبة (حقن، سر مُتسرب، اعتمادية غير مصححة) يمكن أن تعرض النظام بأكمله للخطر.