Apakah amalan terbaik keselamatan utama untuk aplikasi Node.js?

Question

Accepted Answer

Mengamankan aplikasi Node bermakna mempertahankan terhadap kerentanan web biasa (OWASP Top 10) pada pelbagai lapisan — pengendalian input, pengesahihan, kebergantungan (dependencies), dan konfigurasi. Keselamatan adalah berlapis (defense in depth), bukan satu pembetulan tunggal.

## 1. Sahkan dan sucikan semua input

```js
import { z } from "zod";
// never trust client input — validate shape/type before using it
const schema = z.object({ email: z.string().email(), age: z.number().min(0) });
const data = schema.parse(req.body); // rejects malformed/malicious input
```

## 2. Cegah injection (SQL, NoSQL, command)

```js
// ❌ string concatenation → SQL injection
db.query(`SELECT * FROM users WHERE id = ${req.params.id}`);
// ✅ parameterized queries — input is data, never executable SQL
db.query("SELECT * FROM users WHERE id = $1", [req.params.id]);
```

Sentiasa gunakan parameterized queries / sebuah ORM, dan jangan sekali-kali membina command daripada input pengguna (lihat command injection dengan `child_process`).

## 3. Pengesahihan & rahsia

```text
✓ Hash passwords with bcrypt/argon2/scrypt (slow + salted) — never plain/SHA
✓ Store secrets in env vars, never in code/git
✓ Use httpOnly, secure, sameSite cookies for sessions (XSS-resistant)
✓ Sign/verify JWTs properly; keep tokens short-lived
```

## 4. Tetapkan header keselamatan & had kadar (rate-limit)

```js
import helmet from "helmet";
import rateLimit from "express-rate-limit";

app.use(helmet()); // sets secure HTTP headers (CSP, HSTS, X-Frame-Options, etc.)
app.use(rateLimit({ windowMs: 60_000, max: 100 })); // throttle abuse/brute-force
```

`helmet` menambah header pelindung; had kadar mempertahankan terhadap brute-force dan DoS.

## 5. Pastikan kebergantungan selamat (rantaian bekalan)

```bash
npm audit          # check installed packages for known vulnerabilities
npm audit fix
# + keep deps updated; review postinstall scripts; pin versions via the lockfile
```

Kebanyakan kod Node ialah pakej pihak ketiga — kebergantungan terdedah ialah vektor serangan utama. Audit dan kemas kini secara berkala.

## 6. Perkara penting lain

```text
✓ Use HTTPS (TLS) everywhere; redirect HTTP → HTTPS
✓ Don't leak error details/stack traces to clients in production
✓ Escape output to prevent XSS (frameworks usually do this)
✓ Implement proper authorization (not just authentication) — check permissions per action
✓ CORS configured to an allowlist, not "*" for credentialed APIs
✓ Limit request body size to prevent payload-based DoS
```

## Mengapa ia penting

Aplikasi web ialah sasaran berterusan, dan aplikasi Node terdedah kepada keseluruhan rangkaian kerentanan web — injection, pengesahihan yang rosak, XSS, kebergantungan terdedah, salah konfigurasi.

Tiada satu langkah pun yang mencukupi; keselamatan adalah **berlapis**: sahkan input, parameterkan queries, hash kata laluan dengan betul, uruskan rahsia dengan selamat, tetapkan header pelindung, hadkan kadar, audit kebergantungan, dan gunakan HTTPS.

Memahami amalan ini (dan risiko OWASP di sebaliknya) ialah tanggungjawab penting bagi sesiapa yang membina perkhidmatan Node pengeluaran — satu lapisan yang terlepas pandang (sesuatu injection, rahsia yang bocor, kebergantungan yang tidak ditampal) boleh menjejaskan keseluruhan sistem.