แนวปฏิบัติด้านความปลอดภัยที่สำคัญสำหรับแอป Node.js มีอะไรบ้าง?

Question

Accepted Answer

การรักษาความปลอดภัยของแอป Node หมายถึงการป้องกันช่องโหว่ของเว็บที่พบบ่อย (OWASP Top 10) ในหลายชั้น — การจัดการ input, การยืนยันตัวตน, dependency และการตั้งค่า ความปลอดภัยเป็นแบบหลายชั้น (defense in depth) ไม่ใช่การแก้จุดเดียว

## 1. Validate และ sanitize input ทั้งหมด

```js
import { z } from "zod";
// never trust client input — validate shape/type before using it
const schema = z.object({ email: z.string().email(), age: z.number().min(0) });
const data = schema.parse(req.body); // rejects malformed/malicious input
```

## 2. ป้องกัน injection (SQL, NoSQL, command)

```js
// ❌ string concatenation → SQL injection
db.query(`SELECT * FROM users WHERE id = ${req.params.id}`);
// ✅ parameterized queries — input is data, never executable SQL
db.query("SELECT * FROM users WHERE id = $1", [req.params.id]);
```

ใช้ parameterized query / ORM เสมอ และอย่าสร้าง command จาก input ของผู้ใช้ (ดู command injection กับ `child_process`)

## 3. การยืนยันตัวตนและ secret

```text
✓ Hash passwords with bcrypt/argon2/scrypt (slow + salted) — never plain/SHA
✓ Store secrets in env vars, never in code/git
✓ Use httpOnly, secure, sameSite cookies for sessions (XSS-resistant)
✓ Sign/verify JWTs properly; keep tokens short-lived
```

## 4. ตั้ง security header และ rate-limit

```js
import helmet from "helmet";
import rateLimit from "express-rate-limit";

app.use(helmet()); // sets secure HTTP headers (CSP, HSTS, X-Frame-Options, etc.)
app.use(rateLimit({ windowMs: 60_000, max: 100 })); // throttle abuse/brute-force
```

`helmet` เพิ่ม header ป้องกัน; rate limiting ป้องกันการ brute-force และ DoS

## 5. รักษา dependency ให้ปลอดภัย (supply chain)

```bash
npm audit          # check installed packages for known vulnerabilities
npm audit fix
# + keep deps updated; review postinstall scripts; pin versions via the lockfile
```

โค้ด Node ส่วนใหญ่เป็น third-party package — dependency ที่มีช่องโหว่เป็นช่องทางโจมตีหลัก ให้ audit และอัปเดตเป็นประจำ

## 6. สิ่งจำเป็นอื่น ๆ

```text
✓ Use HTTPS (TLS) everywhere; redirect HTTP → HTTPS
✓ Don't leak error details/stack traces to clients in production
✓ Escape output to prevent XSS (frameworks usually do this)
✓ Implement proper authorization (not just authentication) — check permissions per action
✓ CORS configured to an allowlist, not "*" for credentialed APIs
✓ Limit request body size to prevent payload-based DoS
```

## ทำไมจึงสำคัญ

เว็บแอปเป็นเป้าหมายอยู่ตลอดเวลา และแอป Node เปิดรับช่องโหว่ของเว็บเต็มรูปแบบ — injection, การยืนยันตัวตนที่เสียหาย, XSS, dependency ที่มีช่องโหว่, การตั้งค่าผิด

ไม่มีมาตรการเดียวที่เพียงพอ ความปลอดภัยเป็นแบบ **หลายชั้น**: validate input, parameterize query, hash รหัสผ่านอย่างถูกต้อง, จัดการ secret อย่างปลอดภัย, ตั้ง header ป้องกัน, rate-limit, audit dependency และใช้ HTTPS

การเข้าใจแนวปฏิบัติเหล่านี้ (และความเสี่ยง OWASP ที่อยู่เบื้องหลัง) เป็นความรับผิดชอบที่จำเป็นสำหรับทุกคนที่สร้าง Node service ระดับ production — ชั้นเดียวที่มองข้ามไป (injection หนึ่งจุด, secret ที่รั่ว, dependency ที่ไม่ได้แพตช์) สามารถทำให้ทั้งระบบถูกบุกรุกได้