ਇੱਕ Node ਐਪ ਨੂੰ ਸੁਰੱਖਿਤ ਕਰਨਾ ਮਤਲਬ ਸਾਧਾਰਨ ਵੈਬ ਆਦੇਸ਼ੀ ਸਮੱਸਿਆਆਂ (OWASP Top 10) ਤੋਂ ਕਈ ਪਰਤਾਂ ਤੇ ਬਚਾਵ — ਇਨਪੁਟ ਹ੍ਰਿਦਯ, ਪ੍ਰਮਾਣਿਕਤਾ, ਨਿਰਭਰਤਾਵਾਂ ਅਤੇ ਸੰਰਚਨਾ। ਸੁਰੱਖਿਆ ਪਰਤਾਂ ਵਿੱਚ (defense in depth) ਹੈ, ਇੱਕ ਸਿੰਗਲ ਫਿਕਸ ਨਹੀਂ।
{ z } ;
schema = z.({ : z.().(), : z.().() });
data = schema.(req.);
// ❌ string concatenation → SQL injection
db.query(`SELECT * FROM users WHERE id = ${req.params.id}`);
// ✅ parameterized queries — input is data, never executable SQL
db.query("SELECT * FROM users WHERE id = $1", [req.params.id]);
ਹਮੇਸ਼ਾ parameterized queries / ਇੱਕ ORM ਦੀ ਵਰਤੋਂ ਕਰੋ, ਅਤੇ ਕਦੀ ਵੀ ਯੂਜ਼ਰ ਇਨਪੁਟ ਤੋਂ ਕਮਾਂਡਾਂ ਨੂੰ ਬਿਲਡ ਨਾ ਕਰੋ (child_process ਦਾ command injection ਵੇਖੋ)।
✓ Hash passwords with bcrypt/argon2/scrypt (slow + salted) — never plain/SHA
✓ Store secrets in env vars, never in code/git
✓ Use httpOnly, secure, sameSite cookies for sessions (XSS-resistant)
✓ Sign/verify JWTs properly; keep tokens short-lived
import helmet from "helmet";
import rateLimit from "express-rate-limit";
app.use(helmet()); // sets secure HTTP headers (CSP, HSTS, X-Frame-Options, etc.)
app.use(rateLimit({ windowMs: 60_000, max: 100 })); // throttle abuse/brute-force
helmet ਸੁਰੱਖਿਆ ਜਨਕ ਹੈਡਰ ਜੋੜਦਾ ਹੈ; rate limiting brute-force ਅਤੇ DoS ਤੋਂ ਬਚਾਵ ਦਿੰਦਾ ਹੈ।
npm audit # check installed packages for known vulnerabilities
npm audit fix
# + keep deps updated; review postinstall scripts; pin versions via the lockfile
ਬਿਨਾ ਕਿਸੇ Node ਕੋਡ ਤੀਜੇ ਪੱਖ ਦੇ ਪੈਕੇਜ ਹਨ — ਜਵਾਬ ਹੀਨ ਨਿਰਭਰਤਾਵਾਂ ਇੱਕ ਵੱਡਾ ਹਮਲਾ ਵੈਕਟਰ ਹਨ। ਨਿਯਮਿਤ ਤੌਰ 'ਤੇ ਜਾਂਚ ਅਤੇ ਅਪਡੇਟ ਕਰੋ।
✓ Use HTTPS (TLS) everywhere; redirect HTTP → HTTPS
✓ Don't leak error details/stack traces to clients in production
✓ Escape output to prevent XSS (frameworks usually do this)
✓ Implement proper authorization (not just authentication) — check permissions per action
✓ CORS configured to an allowlist, not "*" for credentialed APIs
✓ Limit request body size to prevent payload-based DoS
ਵੈਬ ਐਪ ਨਿਰੰਤਰ ਟੀਚੇ ਹਨ, ਅਤੇ Node ਐਪਾਂ ਵੈਬ ਅਦੇਸ਼ੀ ਸਮੱਸਿਆਆਂ ਦੀ ਪੂਰੀ ਰੇਂਜ ਲਈ ਖੁਲ੍ਹਾ ਹੈ — injections, ਖੰਡਿਤ ਪ੍ਰਮਾਣਿਕਤਾ, XSS, ਜਵਾਬ ਹੀਨ ਨਿਰਭਰਤਾਵਾਂ, ਭਰੋਸੇਮੰਦ ਗਰ।
ਕੋਈ ਵੀ ਇੱਕ ਮਾਪ ਕਾਫ਼ੀ ਨਹੀਂ ਹੈ; ਸੁਰੱਖਿਆ ਪਰਤਾਂ ਵਿੱਚ ਹੈ: ਇਨਪੁਟ ਨਾਲ ਜਾਂਚ ਕਰੋ, ਸਵਾਲ parameterize ਕਰੋ, ਗੁਪਤ ਸ਼ਬਦਾਂ ਨੂੰ ਸਹੀ ਵਿੱਚ hash ਕਰੋ, ਰਾਜ਼ਾਂ ਨੂੰ ਸੁਰੱਖਿਤ ਰੱਖੋ, ਹੈਡਰ ਸੰਰਚਨਾ ਸੈਟ ਕਰੋ, rate-limit, ਆਡਿਟ ਨਿਰਭਰਤਾਵਾਂ, ਅਤੇ HTTPS ਵਰਤੋ।
ਇਸ ਪ੍ਰਰੂਪ ਨੂੰ ਸਮਝਣਾ (ਅਤੇ ਉਹਨਾਂ ਦੇ ਪਿੱਛੇ ਦੀ OWASP ਜੋਖਮ) ਕਿਸੇ ਵੀ ਉਤਪਾਦਨ Node ਸਹਾਇਤਾ ਬਣਾਉਣ ਵਾਲੇ ਲਈ ਇੱਕ ਜ਼ਰੂਰੀ ਦਾਇਤਵ ਹੈ — ਇੱਕ ਵੱਡਾ ਨਹੀਂ ਵਿਖਿਆ ਗਤਵਿਧੀ ਪਰਤ (ਇਨਜੈਕਸ਼ਨ, ਇੱਕ ਲਿਆਕ ਗੁਪਤ, ਇੱਕ ਅਨਪ੍ਰਬੰਧਿਤ ਨਿਰਭਰਤਾ) ਪੂਰੀ ਸਪਾਟ ਨੂੰ ਸਮਝੌਤਾ ਕਰ ਸਕਦਾ ਹੈ।