Các thực hành bảo mật then chốt cho một ứng dụng Node.js là gì?

Question

Accepted Answer

Bảo mật một ứng dụng Node nghĩa là phòng thủ trước các lỗ hổng web phổ biến (OWASP Top 10) ở nhiều tầng — xử lý input, xác thực, dependency và cấu hình. Bảo mật là phân tầng (phòng thủ theo chiều sâu), không phải một bản sửa duy nhất.

## 1. Validate và làm sạch mọi input

```js
import { z } from "zod";
// đừng bao giờ tin input client — validate hình dạng/kiểu trước khi dùng
const schema = z.object({ email: z.string().email(), age: z.number().min(0) });
const data = schema.parse(req.body); // từ chối input sai định dạng/độc hại
```

## 2. Ngăn injection (SQL, NoSQL, command)

```js
// ❌ nối chuỗi → SQL injection
db.query(`SELECT * FROM users WHERE id = ${req.params.id}`);
// ✅ truy vấn tham số hóa — input là dữ liệu, không bao giờ là SQL thực thi được
db.query("SELECT * FROM users WHERE id = $1", [req.params.id]);
```

Luôn dùng truy vấn tham số hóa / một ORM, và đừng bao giờ dựng lệnh từ input người dùng (xem command injection với `child_process`).

## 3. Xác thực & bí mật

```text
✓ Hash mật khẩu bằng bcrypt/argon2/scrypt (chậm + có salt) — không bao giờ thuần/SHA
✓ Lưu bí mật trong biến môi trường, không bao giờ trong code/git
✓ Dùng cookie httpOnly, secure, sameSite cho session (chống XSS)
✓ Ký/xác minh JWT đúng cách; giữ token ngắn hạn
```

## 4. Đặt header bảo mật & giới hạn tần suất

```js
import helmet from "helmet";
import rateLimit from "express-rate-limit";

app.use(helmet()); // đặt các header HTTP an toàn (CSP, HSTS, X-Frame-Options, v.v.)
app.use(rateLimit({ windowMs: 60_000, max: 100 })); // điều tiết lạm dụng/brute-force
```

`helmet` thêm các header bảo vệ; rate limiting phòng thủ trước brute-force và DoS.

## 5. Giữ dependency an toàn (chuỗi cung ứng)

```bash
npm audit          # kiểm tra các gói đã cài về lỗ hổng đã biết
npm audit fix
# + cập nhật dep thường xuyên; rà soát script postinstall; ghim phiên bản qua lockfile
```

Phần lớn code Node là gói bên thứ ba — dependency có lỗ hổng là một vector tấn công lớn. Audit và cập nhật thường xuyên.

## 6. Các điều thiết yếu khác

```text
✓ Dùng HTTPS (TLS) mọi nơi; chuyển hướng HTTP → HTTPS
✓ Đừng lộ chi tiết lỗi/stack trace cho client trong production
✓ Escape output để ngăn XSS (framework thường làm việc này)
✓ Triển khai phân quyền đúng (không chỉ xác thực) — kiểm tra quyền mỗi hành động
✓ CORS cấu hình theo danh sách cho phép, không phải "*" cho API có credential
✓ Giới hạn kích thước body request để ngăn DoS dựa trên payload
```

## Tại sao điều này quan trọng

Ứng dụng web là mục tiêu thường trực, và ứng dụng Node phơi bày trước toàn bộ dải lỗ hổng web — injection, xác thực hỏng, XSS, dependency có lỗ hổng, sai cấu hình.

Không biện pháp đơn lẻ nào đủ; bảo mật là **phân tầng**: validate input, tham số hóa truy vấn, hash mật khẩu đúng, quản lý bí mật an toàn, đặt header bảo vệ, giới hạn tần suất, audit dependency, và dùng HTTPS.

Hiểu các thực hành này (và các rủi ro OWASP đằng sau) là trách nhiệm thiết yếu của bất kỳ ai xây service Node production — một tầng bị bỏ sót (một injection, một bí mật bị lộ, một dependency chưa vá) có thể xâm phạm cả hệ thống.