ایک Node.js app کے لیے اہم security best practices کیا ہیں؟

Question

Accepted Answer

ایک Node app کو محفوظ بنانے کا مطلب ہے متعدد layers پر عام web vulnerabilities (OWASP Top 10) کے خلاف دفاع کرنا — input handling، authentication، dependencies، اور configuration۔ Security layered ہے (defense in depth)، کوئی واحد fix نہیں۔

## 1. تمام input کی validation اور sanitize کریں

```js
import { z } from "zod";
// never trust client input — validate shape/type before using it
const schema = z.object({ email: z.string().email(), age: z.number().min(0) });
const data = schema.parse(req.body); // rejects malformed/malicious input
```

## 2. injection کو روکیں (SQL، NoSQL، command)

```js
// ❌ string concatenation → SQL injection
db.query(`SELECT * FROM users WHERE id = ${req.params.id}`);
// ✅ parameterized queries — input is data, never executable SQL
db.query("SELECT * FROM users WHERE id = $1", [req.params.id]);
```

ہمیشہ parameterized queries / ایک ORM استعمال کریں، اور کبھی user input سے commands نہ بنائیں (`child_process` کے ساتھ command injection دیکھیں)۔

## 3. Authentication اور secrets

```text
✓ Hash passwords with bcrypt/argon2/scrypt (slow + salted) — never plain/SHA
✓ Store secrets in env vars, never in code/git
✓ Use httpOnly, secure, sameSite cookies for sessions (XSS-resistant)
✓ Sign/verify JWTs properly; keep tokens short-lived
```

## 4. security headers سیٹ کریں اور rate-limit کریں

```js
import helmet from "helmet";
import rateLimit from "express-rate-limit";

app.use(helmet()); // sets secure HTTP headers (CSP, HSTS, X-Frame-Options, etc.)
app.use(rateLimit({ windowMs: 60_000, max: 100 })); // throttle abuse/brute-force
```

`helmet` حفاظتی headers شامل کرتا ہے؛ rate limiting brute-force اور DoS کے خلاف دفاع کرتا ہے۔

## 5. dependencies کو محفوظ رکھیں (supply chain)

```bash
npm audit          # check installed packages for known vulnerabilities
npm audit fix
# + keep deps updated; review postinstall scripts; pin versions via the lockfile
```

زیادہ تر Node code third-party packages ہے — vulnerable dependencies ایک بڑا attack vector ہیں۔ باقاعدگی سے audit اور update کریں۔

## 6. دیگر بنیادی باتیں

```text
✓ Use HTTPS (TLS) everywhere; redirect HTTP → HTTPS
✓ Don't leak error details/stack traces to clients in production
✓ Escape output to prevent XSS (frameworks usually do this)
✓ Implement proper authorization (not just authentication) — check permissions per action
✓ CORS configured to an allowlist, not "*" for credentialed APIs
✓ Limit request body size to prevent payload-based DoS
```

## یہ کیوں اہم ہے

Web apps مسلسل اہداف ہیں، اور Node apps web vulnerabilities کی پوری رینج کا سامنا کرتی ہیں — injection، broken auth، XSS، vulnerable dependencies، misconfiguration۔

کوئی واحد اقدام کافی نہیں؛ security **layered** ہے: input کی validation کریں، queries کو parameterize کریں، passwords کو درست طریقے سے hash کریں، secrets کو محفوظ طریقے سے manage کریں، حفاظتی headers سیٹ کریں، rate-limit کریں، dependencies کا audit کریں، اور HTTPS استعمال کریں۔

ان practices (اور ان کے پیچھے OWASP risks) کو سمجھنا production Node services بنانے والے کسی بھی شخص کے لیے ایک ضروری ذمہ داری ہے — ایک واحد نظر انداز کی گئی layer (ایک injection، ایک leaked secret، ایک unpatched dependency) پورے system کو compromise کر سکتی ہے۔