Node.js app માટે મુખ્ય સુરક્ષા શ્રેષ્ઠ પ્રથાઓ શું છે?

Question

Accepted Answer

Node app સુરક્ષિત કરવી એટલે સામાન્ય વેબ સુરક્ષા ખામીઓ (OWASP Top 10) વિરુદ્ધ બહુવિધ સ્તરોમાં બચાવ કરવો — ઇનપુટ હેન્ડલિંગ, પ્રમાણીકરણ, નિર્ભરતા, અને રૂપરેખાંકન. સુરક્ષા સ્તરબદ્ધ છે (ગહનાઈમાં સુરક્ષા), એક જ સુધારો નથી.

## 1. તમામ ઇનપુટ માન્ય કરો અને સાફ કરો

```js
import { z } from "zod";
// never trust client input — validate shape/type before using it
const schema = z.object({ email: z.string().email(), age: z.number().min(0) });
const data = schema.parse(req.body); // rejects malformed/malicious input
```

## 2. ઇનજેક્શન (SQL, NoSQL, આદેશ) અટકાવો

```js
// ❌ string concatenation → SQL injection
db.query(`SELECT * FROM users WHERE id = ${req.params.id}`);
// ✅ parameterized queries — input is data, never executable SQL
db.query("SELECT * FROM users WHERE id = $1", [req.params.id]);
```

હંમેશા પેરામીટરાઇজ્ડ અથવા ORM નો ઉપયોગ કરો, અને ક્યારેય વપરાશકર્તા ઇનપુટ મુંથી આદેશ બનાવશો નહીં (`child_process` સાથે આદેશ ઇનજેક્શન જુઓ).

## 3. પ્રમાણીકરણ અને રહસ્યો

```text
✓ Hash passwords with bcrypt/argon2/scrypt (slow + salted) — never plain/SHA
✓ Store secrets in env vars, never in code/git
✓ Use httpOnly, secure, sameSite cookies for sessions (XSS-resistant)
✓ Sign/verify JWTs properly; keep tokens short-lived
```

## 4. સુરક્ષા હેડર્સ સેટ કરો અને રેટ-લિમિટ કરો

```js
import helmet from "helmet";
import rateLimit from "express-rate-limit";

app.use(helmet()); // sets secure HTTP headers (CSP, HSTS, X-Frame-Options, etc.)
app.use(rateLimit({ windowMs: 60_000, max: 100 })); // throttle abuse/brute-force
```

`helmet` સુરક્ષાત્મક હેડર્સ ઉમેરે છે; રેટ સીમા બ્રુટ-ફોર્સ અને DoS વિરુદ્ધ બચાવ કરે છે.

## 5. નિર્ભરતા સુરક્ષિત રાખો (સપ્લાય ચેઇન)

```bash
npm audit          # check installed packages for known vulnerabilities
npm audit fix
# + keep deps updated; review postinstall scripts; pin versions via the lockfile
```

જ્યારે Node કોડનો મોટાભાગ ત્રીજો પક્ષ પેકેજ છે - અસુરક્ષિત નિર્ભરતા એક મોટો હુમલો વેક્ટર છે. નિયમિત રીતે ઑડિટ અને અપડેટ કરો.

## 6. અન્ય આવશ્યક બાબતો

```text
✓ Use HTTPS (TLS) everywhere; redirect HTTP → HTTPS
✓ Don't leak error details/stack traces to clients in production
✓ Escape output to prevent XSS (frameworks usually do this)
✓ Implement proper authorization (not just authentication) — check permissions per action
✓ CORS configured to an allowlist, not "*" for credentialed APIs
✓ Limit request body size to prevent payload-based DoS
```

## શા માટે મહત્વનું છે

વેબ અપ્લિકેશન્સ સતત લક્ષ્યો છે, અને Node એપ્લિકેશનો વેબ સુરક્ષા ખામીઓની સંપૂર્ણ શ્રેણીમાં ખુલ્લા છે - ઇનજેક્શન, તૂટેલું પ્રમાણીકરણ, XSS, અસુરક્ષિત નિર્ભરતા, ખોટો રૂપરેખાંકન.

કોઈ એક્ક પગલું પર્યાપ્ત નથી; સુરક્ષા **સ્તરબદ્ધ** છે: ઇનપુટ માન્ય કરો, અર્ધવાર અર્ધવાર કરો, પાસવર્ડ્સ યોગ્ય રીતે હેશ કરો, રહસ્યો સુરક્ષિત રીતે સંચાલિત કરો, સુરક્ષાત્મક હેડર્સ સેટ કરો, રેટ-લિમિટ કરો, નિર્ભરતા ઑડિટ કરો, અને HTTPS ઉપયોગ કરો.

আ પ્રથાઓ (અને તેમની પાછળ OWASP જોખમો) સમજવું એ તમામ લોકો માટે આવશ્યક જવાબદારી છે જેઓ ઉત્પાદન Node સેવાઓ બનાવે છે - એક અવગણી સ્તર (ઇનજેક્શન, રહસ્ય લાક થઈ, અપેક્ષિત નિર્ભરતા) સમગ્ર સિસ્ટમને જોખમમાં મૂકી શકે છે.