Was sind die wichtigsten Sicherheitsbest Practices für eine Node.js-App?

Question

Accepted Answer

Eine Node-App zu sichern bedeutet, sich gegen häufige Webanfällbarkeiten (OWASP Top 10) auf mehreren Ebenen zu schützen — Eingabeverarbeitung, Authentifizierung, Abhängigkeiten und Konfiguration. Sicherheit ist mehrschichtig (Defense in Depth), nicht eine einzelne Lösung.

## 1. Validieren und bereinigen Sie alle Eingaben

```js
import { z } from "zod";
// never trust client input — validate shape/type before using it
const schema = z.object({ email: z.string().email(), age: z.number().min(0) });
const data = schema.parse(req.body); // rejects malformed/malicious input
```

## 2. Verhindern Sie Injection (SQL, NoSQL, Befehl)

```js
// ❌ string concatenation → SQL injection
db.query(`SELECT * FROM users WHERE id = ${req.params.id}`);
// ✅ parameterized queries — input is data, never executable SQL
db.query("SELECT * FROM users WHERE id = $1", [req.params.id]);
```

Verwenden Sie immer parametrisierte Abfragen / ein ORM, und erstellen Sie Befehle niemals aus Benutzereingaben (siehe Command Injection mit `child_process`).

## 3. Authentifizierung und Geheimnisse

```text
✓ Hash passwords with bcrypt/argon2/scrypt (slow + salted) — never plain/SHA
✓ Store secrets in env vars, never in code/git
✓ Use httpOnly, secure, sameSite cookies for sessions (XSS-resistant)
✓ Sign/verify JWTs properly; keep tokens short-lived
```

## 4. Setzen Sie Sicherheitsheader und Rate-Limiting

```js
import helmet from "helmet";
import rateLimit from "express-rate-limit";

app.use(helmet()); // sets secure HTTP headers (CSP, HSTS, X-Frame-Options, etc.)
app.use(rateLimit({ windowMs: 60_000, max: 100 })); // throttle abuse/brute-force
```

`helmet` fügt Schutzheader hinzu; Rate-Limiting schützt vor Brute-Force und DoS.

## 5. Halten Sie Abhängigkeiten sicher (Lieferkette)

```bash
npm audit          # check installed packages for known vulnerabilities
npm audit fix
# + keep deps updated; review postinstall scripts; pin versions via the lockfile
```

Der Großteil von Node-Code sind Third-Party-Pakete — anfällige Abhängigkeiten sind ein großer Angriffsvektor. Überprüfen und aktualisieren Sie regelmäßig.

## 6. Weitere Grundlagen

```text
✓ Use HTTPS (TLS) everywhere; redirect HTTP → HTTPS
✓ Don't leak error details/stack traces to clients in production
✓ Escape output to prevent XSS (frameworks usually do this)
✓ Implement proper authorization (not just authentication) — check permissions per action
✓ CORS configured to an allowlist, not "*" for credentialed APIs
✓ Limit request body size to prevent payload-based DoS
```

## Warum es wichtig ist

Web-Apps sind ständige Ziele, und Node-Apps sind der ganzen Palette von Webanfällbarkeiten ausgesetzt — Injection, fehlerhafte Authentifizierung, XSS, anfällige Abhängigkeiten, Fehlkonfiguration.

Eine einzelne Maßnahme reicht nicht aus; Sicherheit ist **mehrschichtig**: Eingaben validieren, Abfragen parametrisieren, Passwörter korrekt hashen, Geheimnisse sicher verwalten, Schutzheader setzen, Rate-Limiting durchsetzen, Abhängigkeiten überprüfen und HTTPS verwenden.

Das Verstehen dieser Praktiken (und der dahinter stehenden OWASP-Risiken) ist eine wesentliche Verantwortung für jeden, der Production-Node-Services erstellt — eine einzige übersehene Ebene (eine Injection, ein geleaktes Geheimnis, eine ungepatche Abhängigkeit) kann das gesamte System gefährden.