Care sunt practicile esențiale de securitate pentru o aplicație Node.js?

Question

Accepted Answer

Securizarea unei aplicații Node înseamnă apărare împotriva vulnerabilităților web comune (OWASP Top 10) la niveluri multiple — validarea intrării, autentificare, dependențe și configurare. Securitatea este stratificată (defense in depth), nu o singură remediere.

## 1. Validează și dezinfectează toate intrările

```js
import { z } from "zod";
// never trust client input — validate shape/type before using it
const schema = z.object({ email: z.string().email(), age: z.number().min(0) });
const data = schema.parse(req.body); // rejects malformed/malicious input
```

## 2. Previn injecția (SQL, NoSQL, command)

```js
// ❌ string concatenation → SQL injection
db.query(`SELECT * FROM users WHERE id = ${req.params.id}`);
// ✅ parameterized queries — input is data, never executable SQL
db.query("SELECT * FROM users WHERE id = $1", [req.params.id]);
```

Folosește întotdeauna interogări parametrizate / un ORM și nu construi niciodată comenzi din intrarea utilizatorului (vezi injecția de comandă cu `child_process`).

## 3. Autentificare & secrete

```text
✓ Hash passwords with bcrypt/argon2/scrypt (slow + salted) — never plain/SHA
✓ Store secrets in env vars, never in code/git
✓ Use httpOnly, secure, sameSite cookies for sessions (XSS-resistant)
✓ Sign/verify JWTs properly; keep tokens short-lived
```

## 4. Setează anteturi de securitate & rate-limit

```js
import helmet from "helmet";
import rateLimit from "express-rate-limit";

app.use(helmet()); // sets secure HTTP headers (CSP, HSTS, X-Frame-Options, etc.)
app.use(rateLimit({ windowMs: 60_000, max: 100 })); // throttle abuse/brute-force
```

`helmet` adaugă antete de protecție; rate limiting se apără împotriva brute-force și DoS.

## 5. Ține dependențele sigure (supply chain)

```bash
npm audit          # check installed packages for known vulnerabilities
npm audit fix
# + keep deps updated; review postinstall scripts; pin versions via the lockfile
```

Majoritatea codului Node este pachete terțe — dependențele vulnerabile sunt un vector major de atac. Auditează și actualizează regulat.

## 6. Alte elemente esențiale

```text
✓ Use HTTPS (TLS) everywhere; redirect HTTP → HTTPS
✓ Don't leak error details/stack traces to clients in production
✓ Escape output to prevent XSS (frameworks usually do this)
✓ Implement proper authorization (not just authentication) — check permissions per action
✓ CORS configured to an allowlist, not "*" for credentialed APIs
✓ Limit request body size to prevent payload-based DoS
```

## De ce conteaza

Aplicațiile web sunt ținte constante, iar aplicațiile Node sunt expuse la întregul spectru de vulnerabilități web — injecție, autentificare spartă, XSS, dependențe vulnerabile, configurare greșită.

Nicio măsură unică nu este suficientă; securitatea este **stratificată**: validează intrarea, parametrizează interogările, hash-ează parolele corect, gestionează secretele în siguranță, setează antete de protecție, rate-limit, auditează dependențele și folosește HTTPS.

Înțelegerea acestor practici (și riscurile OWASP din spatele lor) este o responsabilitate esențială pentru oricine construiește servicii Node de producție — un singur strat neglijat (o injecție, un secret scurs, o dependență neaplic) poate compromite întregul sistem.