Node.js ऐप्लिकेशन के लिए मुख्य सुरक्षा सर्वोत्तम प्रथाएं क्या हैं?

Question

Accepted Answer

Node ऐप को सुरक्षित करने का अर्थ सामान्य वेब कमजोरियों (OWASP Top 10) के विरुद्ध कई परतों पर सुरक्षा करना है — इनपुट हैंडलिंग, प्रमाणीकरण, निर्भरताएं, और कॉन्फ़िगरेशन। सुरक्षा स्तरित है (गहराई में सुरक्षा), एक एकल सुधार नहीं।

## 1. सभी इनपुट को मान्य करें और सफाई करें

```js
import { z } from "zod";
// never trust client input — validate shape/type before using it
const schema = z.object({ email: z.string().email(), age: z.number().min(0) });
const data = schema.parse(req.body); // rejects malformed/malicious input
```

## 2. इंजेक्शन (SQL, NoSQL, कमांड) को रोकें

```js
// ❌ string concatenation → SQL injection
db.query(`SELECT * FROM users WHERE id = ${req.params.id}`);
// ✅ parameterized queries — input is data, never executable SQL
db.query("SELECT * FROM users WHERE id = $1", [req.params.id]);
```

हमेशा पैरामीटरीकृत क्वेरीज / ORM का उपयोग करें, और कभी भी उपयोगकर्ता इनपुट से कमांड न बनाएं (`child_process` के साथ कमांड इंजेक्शन देखें)।

## 3. प्रमाणीकरण और गोपनीय जानकारी

```text
✓ Hash passwords with bcrypt/argon2/scrypt (slow + salted) — never plain/SHA
✓ Store secrets in env vars, never in code/git
✓ Use httpOnly, secure, sameSite cookies for sessions (XSS-resistant)
✓ Sign/verify JWTs properly; keep tokens short-lived
```

## 4. सुरक्षा हेडर सेट करें और दर सीमा बनाएं

```js
import helmet from "helmet";
import rateLimit from "express-rate-limit";

app.use(helmet()); // sets secure HTTP headers (CSP, HSTS, X-Frame-Options, etc.)
app.use(rateLimit({ windowMs: 60_000, max: 100 })); // throttle abuse/brute-force
```

`helmet` सुरक्षात्मक हेडर जोड़ता है; दर सीमा brute-force और DoS के विरुद्ध सुरक्षा करती है।

## 5. निर्भरताओं को सुरक्षित रखें (आपूर्ति श्रृंखला)

```bash
npm audit          # check installed packages for known vulnerabilities
npm audit fix
# + keep deps updated; review postinstall scripts; pin versions via the lockfile
```

अधिकांश Node कोड तीसरे पक्ष के पैकेज हैं — असुरक्षित निर्भरताएं एक बड़ा हमला वेक्टर हैं। नियमित रूप से ऑडिट और अपडेट करें।

## 6. अन्य आवश्यक बातें

```text
✓ Use HTTPS (TLS) everywhere; redirect HTTP → HTTPS
✓ Don't leak error details/stack traces to clients in production
✓ Escape output to prevent XSS (frameworks usually do this)
✓ Implement proper authorization (not just authentication) — check permissions per action
✓ CORS configured to an allowlist, not "*" for credentialed APIs
✓ Limit request body size to prevent payload-based DoS
```

## यह क्यों महत्वपूर्ण है

वेब ऐप्लिकेशन लगातार लक्ष्य हैं, और Node ऐप्लिकेशन वेब कमजोरियों की पूरी श्रृंखला के लिए उजागर हैं — इंजेक्शन, टूटी हुई प्रमाणीकरण, XSS, असुरक्षित निर्भरताएं, गलत कॉन्फ़िगरेशन।

कोई एक उपाय पर्याप्त नहीं है; सुरक्षा **स्तरित** है: इनपुट को मान्य करें, क्वेरीज को पैरामीटरीकृत करें, पासवर्ड को सही तरीके से हैश करें, गोपनीय जानकारी को सुरक्षित रूप से प्रबंधित करें, सुरक्षा हेडर सेट करें, दर सीमा बनाएं, निर्भरताओं का ऑडिट करें, और HTTPS का उपयोग करें।

इन प्रथाओं (और उनके पीछे की OWASP जोखिम) को समझना उन सभी के लिए एक आवश्यक जिम्मेदारी है जो production Node सेवाएं बना रहे हैं — एक छूटी हुई परत (एक इंजेक्शन, एक रिसी हुई गोपनीय जानकारी, एक unpatched निर्भरता) पूरी प्रणाली को खतरे में डाल सकती है।