Het beveiligen van een Node-app betekent jezelf verdedigen tegen veelvoorkomende webkwetsbaarheden (de OWASP Top 10) op meerdere lagen — inputverwerking, authenticatie, afhankelijkheden en configuratie. Beveiliging is gelaagd (defense in depth), niet een enkele oplossing.
{ z } ;
schema = z.({ : z.().(), : z.().() });
data = schema.(req.);
// ❌ string concatenation → SQL injection
db.query(`SELECT * FROM users WHERE id = ${req.params.id}`);
// ✅ parameterized queries — input is data, never executable SQL
db.query("SELECT * FROM users WHERE id = $1", [req.params.id]);
Gebruik altijd geparametriseerde query's / een ORM, en bouw nooit commando's van gebruikersinvoer (zie command injection met child_process).
✓ Hash passwords with bcrypt/argon2/scrypt (slow + salted) — never plain/SHA
✓ Store secrets in env vars, never in code/git
✓ Use httpOnly, secure, sameSite cookies for sessions (XSS-resistant)
✓ Sign/verify JWTs properly; keep tokens short-lived
import helmet from "helmet";
import rateLimit from "express-rate-limit";
app.use(helmet()); // sets secure HTTP headers (CSP, HSTS, X-Frame-Options, etc.)
app.use(rateLimit({ windowMs: 60_000, max: 100 })); // throttle abuse/brute-force
helmet voegt beveiligde headers toe; rate limiting verdedigt tegen brute-force en DoS.
npm audit # check installed packages for known vulnerabilities
npm audit fix
# + keep deps updated; review postinstall scripts; pin versions via the lockfile
Meeste Node-code bestaat uit third-party packages — kwetsbare afhankelijkheden zijn een grote aanvalsvector. Controleer en werk regelmatig bij.
✓ Use HTTPS (TLS) everywhere; redirect HTTP → HTTPS
✓ Don't leak error details/stack traces to clients in production
✓ Escape output to prevent XSS (frameworks usually do this)
✓ Implement proper authorization (not just authentication) — check permissions per action
✓ CORS configured to an allowlist, not "*" for credentialed APIs
✓ Limit request body size to prevent payload-based DoS
Web-apps zijn constant doelen, en Node-apps zijn blootgesteld aan het volledige scala van webkwetsbaarheden — injectie, verbroken authenticatie, XSS, kwetsbare afhankelijkheden, misconfiguratie.
Een enkele maatregel volstaat niet; beveiliging is gelaagd: valideer invoer, parametriseer query's, hash wachtwoorden correct, beheer geheimen veilig, stel beveiligde headers in, rate-limit, controleer afhankelijkheden, en gebruik HTTPS.
Het begrijpen van deze richtlijnen (en de OWASP-risico's erachter) is een essentiële verantwoordelijkheid voor iedereen die productie Node-services bouwt — een enkel overziene laag (een injectie, een gelekt geheim, een ongepatched afhankelijkheid) kan het hele systeem compromitteren.