Bir Node.js uygulaması için temel güvenlik en iyi uygulamaları nelerdir?

Question

Accepted Answer

Bir Node uygulamasının güvenliğini sağlamak, yaygın web güvenlik açıklarına (OWASP Top 10) karşı çok katmanlı bir şekilde savunma anlamına gelir — giriş işleme, kimlik doğrulama, bağımlılıklar ve yapılandırma. Güvenlik katmanlıdır (derinlemesine savunma), tek bir çözüm değildir.

## 1. Tüm girdileri doğrulayın ve temizleyin

```js
import { z } from "zod";
// never trust client input — validate shape/type before using it
const schema = z.object({ email: z.string().email(), age: z.number().min(0) });
const data = schema.parse(req.body); // rejects malformed/malicious input
```

## 2. Enjeksiyonu önleyin (SQL, NoSQL, komut)

```js
// ❌ string concatenation → SQL injection
db.query(`SELECT * FROM users WHERE id = ${req.params.id}`);
// ✅ parameterized queries — input is data, never executable SQL
db.query("SELECT * FROM users WHERE id = $1", [req.params.id]);
```

Her zaman parametreleştirilmiş sorguları / bir ORM kullanın ve hiçbir zaman kullanıcı girdisinden komut oluşturmayın (`child_process` ile komut enjeksiyonuna bakın).

## 3. Kimlik doğrulama ve gizli veriler

```text
✓ Hash passwords with bcrypt/argon2/scrypt (slow + salted) — never plain/SHA
✓ Store secrets in env vars, never in code/git
✓ Use httpOnly, secure, sameSite cookies for sessions (XSS-resistant)
✓ Sign/verify JWTs properly; keep tokens short-lived
```

## 4. Güvenlik başlıklarını ayarlayın ve hız sınırlaması yapın

```js
import helmet from "helmet";
import rateLimit from "express-rate-limit";

app.use(helmet()); // sets secure HTTP headers (CSP, HSTS, X-Frame-Options, etc.)
app.use(rateLimit({ windowMs: 60_000, max: 100 })); // throttle abuse/brute-force
```

`helmet` koruyucu başlıklar ekler; hız sınırlaması kaba kuvvet ve DoS saldırılarına karşı savunma sağlar.

## 5. Bağımlılıkları güvenli tutun (tedarik zinciri)

```bash
npm audit          # check installed packages for known vulnerabilities
npm audit fix
# + keep deps updated; review postinstall scripts; pin versions via the lockfile
```

Node kodu çoğunlukla üçüncü taraf paketlerdir — güvenlik açığı bulunan bağımlılıklar büyük bir saldırı vektörüdür. Düzenli olarak denetleyin ve güncelleyin.

## 6. Diğer temel konular

```text
✓ Use HTTPS (TLS) everywhere; redirect HTTP → HTTPS
✓ Don't leak error details/stack traces to clients in production
✓ Escape output to prevent XSS (frameworks usually do this)
✓ Implement proper authorization (not just authentication) — check permissions per action
✓ CORS configured to an allowlist, not "*" for credentialed APIs
✓ Limit request body size to prevent payload-based DoS
```

## Neden önemli

Web uygulamaları sürekli hedef alınır ve Node uygulamaları tam aralıktaki web güvenlik açıklarına maruz kalır — enjeksiyon, bozuk kimlik doğrulama, XSS, güvenlik açığı bulunan bağımlılıklar, yanlış yapılandırma.

Tek bir önlem yeterli değildir; güvenlik **katmanlıdır**: girdileri doğrulayın, sorguları parametreleştirin, parolaları doğru şekilde hash'leyin, gizli verileri güvenli şekilde yönetin, koruyucu başlıklar ayarlayın, hız sınırlaması yapın, bağımlılıkları denetleyin ve HTTPS kullanın.

Bu uygulamaları anlamak (ve ardında yatan OWASP risklerini) — üretim Node hizmetleri oluşturan herkesin temel sorumluluğudur. Göz ardı edilen tek bir katman (bir enjeksiyon, sızan gizli veri, yayınlanmamış bir bağımlılık) tüm sistemi tehlikeye atabilir.