Node एप्लिकेशन सुरक्षित गर्ने अर्थ सामान्य वेब असुरक्षाहरू (OWASP Top 10) विरुद्ध बहुस्तरीय रक्षा गर्नु हो — इनपुट ह्यान्डलिङ, प्रमाणीकरण, निर्भरताहरू, र कन्फिगरेसन। सुरक्षा स्तरित छ (defense in depth), एकल समाधान होइन।
{ z } ;
schema = z.({ : z.().(), : z.().() });
data = schema.(req.);
// ❌ string concatenation → SQL injection
db.query(`SELECT * FROM users WHERE id = ${req.params.id}`);
// ✅ parameterized queries — input is data, never executable SQL
db.query("SELECT * FROM users WHERE id = $1", [req.params.id]);
सधैं parameterized queries / ORM प्रयोग गर्नुहोस्, र कहिल्यै पनि user input बाट commands निर्माण नगर्नुहोस् (child_process सँग command injection हेर्नुहोस्)।
✓ Hash passwords with bcrypt/argon2/scrypt (slow + salted) — never plain/SHA
✓ Store secrets in env vars, never in code/git
✓ Use httpOnly, secure, sameSite cookies for sessions (XSS-resistant)
✓ Sign/verify JWTs properly; keep tokens short-lived
import helmet from "helmet";
import rateLimit from "express-rate-limit";
app.use(helmet()); // sets secure HTTP headers (CSP, HSTS, X-Frame-Options, etc.)
app.use(rateLimit({ windowMs: 60_000, max: 100 })); // throttle abuse/brute-force
helmet सुरक्षात्मक headers थप्छ; rate limiting brute-force र DoS विरुद्ध रक्षा गर्छ।
npm audit # check installed packages for known vulnerabilities
npm audit fix
# + keep deps updated; review postinstall scripts; pin versions via the lockfile
अधिकांश Node कोड तेस्रो-पक्षीय प्याकेजहरू हुन्छन् — असुरक्षित निर्भरताहरू एक प्रमुख आक्रमण भेक्टर हुन्। नियमित रूपमा audit र update गर्नुहोस्।
✓ Use HTTPS (TLS) everywhere; redirect HTTP → HTTPS
✓ Don't leak error details/stack traces to clients in production
✓ Escape output to prevent XSS (frameworks usually do this)
✓ Implement proper authorization (not just authentication) — check permissions per action
✓ CORS configured to an allowlist, not "*" for credentialed APIs
✓ Limit request body size to prevent payload-based DoS
वेब एप्लिकेशनहरू निरन्तर लक्ष्य हुन्छन्, र Node एप्लिकेशनहरू वेब असुरक्षाहरूको पूर्ण दायरामा उजागर हुन्छन् — injection, broken auth, XSS, असुरक्षित निर्भरताहरू, misconfiguration।
कोनै पनि एकल उपाय पर्याप्त छैन; सुरक्षा स्तरित छ: इनपुट मान्यता गर्नुहोस्, queries parameterize गर्नुहोस्, passwords सही तरिकाले hash गर्नुहोस्, गोप्य जानकारी सुरक्षित रूपमा व्यवस्थापन गर्नुहोस्, सुरक्षात्मक headers सेट गर्नुहोस्, rate-limit गर्नुहोस्, निर्भरताहरू audit गर्नुहोस्, र HTTPS प्रयोग गर्नुहोस्।
यी अभ्यासहरू (र तिनीहरूको पछाडि रहेको OWASP जोखिमहरू) बुझ्नु production Node services निर्माण गर्ने कोहीको लागि आवश्यक जिम्मेवारी हो — एकल बेवास्ता गरिएको स्तर (एक injection, एक leaked secret, एक unpatched dependency) पूरै प्रणालीसमझौता गर्न सक्छ।
विस्तृत उत्तरसहित IT अन्तर्वार्ता प्रश्नहरूको पुस्तकालय — जुनियरदेखि सिनियरसम्म।
दान गर्नुहोस्