Kokie yra pagrindiniai Node.js programos saugumo geriausi praktikai?

Question

Accepted Answer

Node programos apsauga reiškia, kad reikia gintis nuo įprastų žiniatinklio pažeidžiamumo (OWASP Top 10) keliose sluoksniuose — įvesties tvarkymas, autentifikacija, priklausomybės ir konfigūracija. Saugumas yra sluoksnis (gynyba į gylį), o ne vienas sprendimas.

## 1. Patikrinkite ir sanitizuokite visą įvestį

```js
import { z } from "zod";
// never trust client input — validate shape/type before using it
const schema = z.object({ email: z.string().email(), age: z.number().min(0) });
const data = schema.parse(req.body); // rejects malformed/malicious input
```

## 2. Neleiskite injekcijos (SQL, NoSQL, komandos)

```js
// ❌ string concatenation → SQL injection
db.query(`SELECT * FROM users WHERE id = ${req.params.id}`);
// ✅ parameterized queries — input is data, never executable SQL
db.query("SELECT * FROM users WHERE id = $1", [req.params.id]);
```

Visada naudokite parametrizuotas užklausas / ORM, ir niekada nestatykite komandų iš vartotojo įvesties (žiūrėkite komandos injekciją su `child_process`).

## 3. Autentifikacija ir paslapčiai

```text
✓ Hash passwords with bcrypt/argon2/scrypt (slow + salted) — never plain/SHA
✓ Store secrets in env vars, never in code/git
✓ Use httpOnly, secure, sameSite cookies for sessions (XSS-resistant)
✓ Sign/verify JWTs properly; keep tokens short-lived
```

## 4. Nustatykite saugumo antrašteles ir apribokite greitį

```js
import helmet from "helmet";
import rateLimit from "express-rate-limit";

app.use(helmet()); // sets secure HTTP headers (CSP, HSTS, X-Frame-Options, etc.)
app.use(rateLimit({ windowMs: 60_000, max: 100 })); // throttle abuse/brute-force
```

`helmet` prideda apsauginius antrašteles; greitavimo ribojimas ginasi nuo brute-force ir DoS.

## 5. Palaikykite priklausomybes saugias (tiekimo grandinė)

```bash
npm audit          # check installed packages for known vulnerabilities
npm audit fix
# + keep deps updated; review postinstall scripts; pin versions via the lockfile
```

Dauguma Node kodo yra trečiųjų šalių paketai — pažeidžiamos priklausomybės yra pagrindinė atakos priemonė. Auditą ir atnaujinkite reguliariai.

## 6. Kiti svarbūs dalykai

```text
✓ Use HTTPS (TLS) everywhere; redirect HTTP → HTTPS
✓ Don't leak error details/stack traces to clients in production
✓ Escape output to prevent XSS (frameworks usually do this)
✓ Implement proper authorization (not just authentication) — check permissions per action
✓ CORS configured to an allowlist, not "*" for credentialed APIs
✓ Limit request body size to prevent payload-based DoS
```

## Kodėl tai svarbu

Žiniatinklio programos yra nuolatiniai taikiniai, o Node programos yra atidarytos visam žiniatinklio pažeidžiamumo diapazonui — injekcija, sugadinta autentifikacija, XSS, pažeidžiamos priklausomybės, klaidinga konfigūracija.

Nė vienas vienas priemonė nepakanka; saugumas yra **sluoksnis**: patikrinkite įvestį, parametrizuokite užklausas, teisingai šiuokite slaptažodžius, saugiai tvarkykite paslapčius, nustatykite apsauginius antrašteles, ribokite greitį, auditą priklausomybes ir naudokite HTTPS.

Šių praktikų supratimas (ir OWASP rizikos) yra esminė atsakomybė kiekvienam, kuris kuria gamybinius Node tarnybas — vienas nepamirštas sluoksnis (injekcija, nutekęs paslaptas, neištaisyta priklausomybė) gali pažeisti visą sistemą.