Node.js অ্যাপ্লিকেশনের জন্য মূল নিরাপত্তা সেরা অনুশীলনগুলি কী কী?

Question

Accepted Answer

Node অ্যাপ সুরক্ষিত করার অর্থ হল সাধারণ ওয়েব দুর্বলতা (OWASP Top 10) এর বিরুদ্ধে একাধিক স্তরে প্রতিরক্ষা — ইনপুট হ্যান্ডলিং, প্রমাণীকরণ, নির্ভরতা এবং কনফিগারেশন। নিরাপত্তা স্তরযুক্ত (defense in depth), একটি একক সমাধান নয়।

## 1. সমস্ত ইনপুট যাচাই এবং সেনিটাইজ করুন

```js
import { z } from "zod";
// never trust client input — validate shape/type before using it
const schema = z.object({ email: z.string().email(), age: z.number().min(0) });
const data = schema.parse(req.body); // rejects malformed/malicious input
```

## 2. ইঞ্জেকশন প্রতিরোধ করুন (SQL, NoSQL, কমান্ড)

```js
// ❌ string concatenation → SQL injection
db.query(`SELECT * FROM users WHERE id = ${req.params.id}`);
// ✅ parameterized queries — input is data, never executable SQL
db.query("SELECT * FROM users WHERE id = $1", [req.params.id]);
```

সর্বদা প্যারামিটারযুক্ত কোয়েরি / একটি ORM ব্যবহার করুন, এবং কখনও ব্যবহারকারীর ইনপুট থেকে কমান্ড তৈরি করবেন না (`child_process` দিয়ে কমান্ড ইঞ্জেকশন দেখুন)।

## 3. প্রমাণীকরণ এবং গোপনীয়তা

```text
✓ Hash passwords with bcrypt/argon2/scrypt (slow + salted) — never plain/SHA
✓ Store secrets in env vars, never in code/git
✓ Use httpOnly, secure, sameSite cookies for sessions (XSS-resistant)
✓ Sign/verify JWTs properly; keep tokens short-lived
```

## 4. নিরাপত্তা হেডার সেট করুন এবং হার সীমাবদ্ধ করুন

```js
import helmet from "helmet";
import rateLimit from "express-rate-limit";

app.use(helmet()); // sets secure HTTP headers (CSP, HSTS, X-Frame-Options, etc.)
app.use(rateLimit({ windowMs: 60_000, max: 100 })); // throttle abuse/brute-force
```

`helmet` সুরক্ষামূলক হেডার যোগ করে; হার সীমাবদ্ধকরণ brute-force এবং DoS এর বিরুদ্ধে প্রতিরক্ষা করে।

## 5. নির্ভরতা সুরক্ষিত রাখুন (সরবরাহ শৃঙ্খল)

```bash
npm audit          # check installed packages for known vulnerabilities
npm audit fix
# + keep deps updated; review postinstall scripts; pin versions via the lockfile
```

বেশিরভাগ Node কোড তৃতীয় পক্ষের প্যাকেজ — দুর্বল নির্ভরতা একটি প্রধান আক্রমণ ভেক্টর। নিয়মিত অডিট এবং আপডেট করুন।

## 6. অন্যান্য অপরিহার্য বিষয়

```text
✓ Use HTTPS (TLS) everywhere; redirect HTTP → HTTPS
✓ Don't leak error details/stack traces to clients in production
✓ Escape output to prevent XSS (frameworks usually do this)
✓ Implement proper authorization (not just authentication) — check permissions per action
✓ CORS configured to an allowlist, not "*" for credentialed APIs
✓ Limit request body size to prevent payload-based DoS
```

## কেন এটি গুরুত্বপূর্ণ

ওয়েব অ্যাপ্লিকেশনগুলি ক্রমাগত লক্ষ্য, এবং Node অ্যাপ্লিকেশনগুলি সম্পূর্ণ ওয়েব দুর্বলতার সংস্করণে উন্মুক্ত — ইঞ্জেকশন, ভাঙা প্রমাণীকরণ, XSS, দুর্বল নির্ভরতা, ভুল কনফিগারেশন।

কোন একক পদক্ষেপ যথেষ্ট নয়; নিরাপত্তা **স্তরযুক্ত**: ইনপুট যাচাই করুন, কোয়েরি প্যারামিটারাইজ করুন, পাসওয়ার্ড সঠিকভাবে হ্যাশ করুন, সুরক্ষিতভাবে গোপনীয়তা পরিচালনা করুন, সুরক্ষামূলক হেডার সেট করুন, হার সীমাবদ্ধ করুন, নির্ভরতা অডিট করুন এবং HTTPS ব্যবহার করুন।

এই অনুশীলনগুলি বোঝা (এবং তাদের পিছনে থাকা OWASP ঝুঁকিগুলি) উৎপাদন Node সেবা তৈরি করা যে কেউর জন্য একটি অপরিহার্য দায়িত্ব — একটি উপেক্ষিত স্তর (একটি ইঞ্জেকশন, একটি ফাঁস হওয়া গোপনীয়তা, একটি প্যাচ হয়নি এমন নির্ভরতা) পুরো সিস্টেমকে আপস করতে পারে।