Triển khai an toàn các ứng dụng Node.js trong sản xuất

Thứ Ba, 25/04/2023

Tram Ho

Giới thiệu

Node.js đã nhanh chóng trở thành một trong những nền tảng phổ biến nhất để xây dựng các ứng dụng web, API và vi dịch vụ. Kiến trúc hướng sự kiện, không chặn của nó cung cấp hiệu suất cao và khả năng mở rộng, làm cho nó trở thành lựa chọn hàng đầu cho các nhà phát triển. Tuy nhiên, việc triển khai an toàn các ứng dụng Node.js trong môi trường sản xuất là rất quan trọng để bảo vệ dữ liệu nhạy cảm, đảm bảo tính sẵn sàng cao cũng như duy trì một ứng dụng mạnh mẽ và an toàn.

Trong bài viết này, chúng ta sẽ thảo luận về các phương pháp và chiến lược tốt nhất để triển khai an toàn các ứng dụng Node.js trong sản xuất.

1. Cấu hình môi trường

1.1. Biến môi trường

Quản lý dữ liệu cấu hình, chẳng hạn như khóa API, thông tin đăng nhập cơ sở dữ liệu và thông tin nhạy cảm khác, nên được thực hiện bằng các biến môi trường. Phương pháp này giữ dữ liệu nhạy cảm ra khỏi cơ sở mã của bạn, khiến kẻ tấn công khó truy cập chúng hơn.

Sử dụng gói dotenv để tải các biến môi trường từ tệp .env:

<span class="token function">npm</span> <span class="token function">install</span> dotenv

1 2	<span class="token function">npm</span> <span class="token function">install</span> dotenv

Tạo tệp .env trong thư mục gốc của dự án và xác định các biến của bạn:

API_KEY <span class="token operator">=</span> myapikey
DB_USER <span class="token operator">=</span> mydbuser
DB_PASSWORD <span class="token operator">=</span> mydbpassword

API_KEY = myapikey

DB_USER = mydbuser

DB_PASSWORD = mydbpassword

Tải các biến trong ứng dụng Node.js của bạn:

<span class="token function">require</span> <span class="token punctuation">(</span> <span class="token string">'dotenv'</span> <span class="token punctuation">)</span> <span class="token punctuation">.</span> <span class="token function">config</span> <span class="token punctuation">(</span> <span class="token punctuation">)</span> <span class="token punctuation">;</span>

console <span class="token punctuation">.</span> <span class="token function">log</span> <span class="token punctuation">(</span> process <span class="token punctuation">.</span> env <span class="token punctuation">.</span> <span class="token constant">API_KEY</span> <span class="token punctuation">)</span> <span class="token punctuation">;</span> <span class="token comment">// myapikey</span>

require ( 'dotenv' ) . config ( ) ;

console . log ( process . env . API_KEY ) ; // myapikey

Hãy nhớ thêm .env vào tệp .gitignore của bạn để ngăn không cho nó được cam kết với kho lưu trữ của bạn.

1.2. Tránh thông tin xác thực được mã hóa cứng

Mã hóa cứng thông tin xác thực trong mã của bạn là một cách làm không tốt có thể dẫn đến vi phạm bảo mật. Luôn lưu trữ dữ liệu nhạy cảm như thông tin đăng nhập và khóa API trong các biến môi trường hoặc bộ nhớ ngoài an toàn.

Sử dụng giải pháp quản lý bí mật như HashiCorp Vault hoặc AWS Secrets Manager để lưu trữ và quản lý bảo mật ứng dụng của bạn một cách an toàn.

2. Giao tiếp an toàn

2.1. HTTPS và SSL/TLS

Mã hóa dữ liệu khi truyền là điều cần thiết để bảo vệ thông tin nhạy cảm và duy trì quyền riêng tư của người dùng. Sử dụng HTTPS với SSL/TLS để mã hóa thông tin liên lạc giữa máy khách và ứng dụng Node.js của bạn.

Nhận chứng chỉ SSL từ Tổ chức phát hành chứng chỉ (CA) đáng tin cậy, chẳng hạn như Let’s Encrypt và định cấu hình ứng dụng Node.js của bạn để sử dụng HTTPS:

<span class="token keyword">const</span> https <span class="token operator">=</span> <span class="token function">require</span> <span class="token punctuation">(</span> <span class="token string">'https'</span> <span class="token punctuation">)</span> <span class="token punctuation">;</span>
<span class="token keyword">const</span> fs <span class="token operator">=</span> <span class="token function">require</span> <span class="token punctuation">(</span> <span class="token string">'fs'</span> <span class="token punctuation">)</span> <span class="token punctuation">;</span>

<span class="token keyword">const</span> options <span class="token operator">=</span> <span class="token punctuation">{</span>
  key <span class="token operator">:</span> fs <span class="token punctuation">.</span> <span class="token function">readFileSync</span> <span class="token punctuation">(</span> <span class="token string">'server.key'</span> <span class="token punctuation">)</span> <span class="token punctuation">,</span>
  cert <span class="token operator">:</span> fs <span class="token punctuation">.</span> <span class="token function">readFileSync</span> <span class="token punctuation">(</span> <span class="token string">'server.cert'</span> <span class="token punctuation">)</span>
<span class="token punctuation">}</span> <span class="token punctuation">;</span>

https <span class="token punctuation">.</span> <span class="token function">createServer</span> <span class="token punctuation">(</span> options <span class="token punctuation">,</span> <span class="token punctuation">(</span> <span class="token parameter">req <span class="token punctuation">,</span> res</span> <span class="token punctuation">)</span> <span class="token operator">=&gt;</span> <span class="token punctuation">{</span>
  res <span class="token punctuation">.</span> <span class="token function">writeHead</span> <span class="token punctuation">(</span> <span class="token number">200</span> <span class="token punctuation">)</span> <span class="token punctuation">;</span>
  res <span class="token punctuation">.</span> <span class="token function">end</span> <span class="token punctuation">(</span> <span class="token string">'Hello, secure world!'</span> <span class="token punctuation">)</span> <span class="token punctuation">;</span>
<span class="token punctuation">}</span> <span class="token punctuation">)</span> <span class="token punctuation">.</span> <span class="token function">listen</span> <span class="token punctuation">(</span> <span class="token number">3000</span> <span class="token punctuation">)</span> <span class="token punctuation">;</span>

const https = require ( 'https' ) ;

const fs = require ( 'fs' ) ;

const options = {

key : fs . readFileSync ( 'server.key' ) ,

cert : fs . readFileSync ( 'server.cert' )

} ;

https . createServer ( options , ( req , res ) => {

res . writeHead ( 200 ) ;

res . end ( 'Hello, secure world!' ) ;

} ) . listen ( 3000 ) ;

2.2. Tiêu đề bảo mật HTTP

Tiêu đề bảo mật HTTP giúp bảo vệ ứng dụng của bạn khỏi các cuộc tấn công và lỗ hổng bảo mật khác nhau. Sử dụng phần mềm trung gian Mũ bảo hiểm để đặt tiêu đề bảo mật trong ứng dụng Express của bạn:

<span class="token function">npm</span> <span class="token function">install</span> helmet

1 2	<span class="token function">npm</span> <span class="token function">install</span> helmet

Bật Mũ bảo hiểm trong ứng dụng của bạn:

<span class="token keyword">const</span> express <span class="token operator">=</span> <span class="token function">require</span> <span class="token punctuation">(</span> <span class="token string">'express'</span> <span class="token punctuation">)</span> <span class="token punctuation">;</span>
<span class="token keyword">const</span> helmet <span class="token operator">=</span> <span class="token function">require</span> <span class="token punctuation">(</span> <span class="token string">'helmet'</span> <span class="token punctuation">)</span> <span class="token punctuation">;</span>

<span class="token keyword">const</span> app <span class="token operator">=</span> <span class="token function">express</span> <span class="token punctuation">(</span> <span class="token punctuation">)</span> <span class="token punctuation">;</span>

app <span class="token punctuation">.</span> <span class="token function">use</span> <span class="token punctuation">(</span> <span class="token function">helmet</span> <span class="token punctuation">(</span> <span class="token punctuation">)</span> <span class="token punctuation">)</span> <span class="token punctuation">;</span>

app <span class="token punctuation">.</span> <span class="token function">get</span> <span class="token punctuation">(</span> <span class="token string">'/'</span> <span class="token punctuation">,</span> <span class="token punctuation">(</span> <span class="token parameter">req <span class="token punctuation">,</span> res</span> <span class="token punctuation">)</span> <span class="token operator">=&gt;</span> <span class="token punctuation">{</span>
  res <span class="token punctuation">.</span> <span class="token function">send</span> <span class="token punctuation">(</span> <span class="token string">'Hello, secure world!'</span> <span class="token punctuation">)</span> <span class="token punctuation">;</span>
<span class="token punctuation">}</span> <span class="token punctuation">)</span> <span class="token punctuation">;</span>

app <span class="token punctuation">.</span> <span class="token function">listen</span> <span class="token punctuation">(</span> <span class="token number">3000</span> <span class="token punctuation">,</span> <span class="token punctuation">(</span> <span class="token punctuation">)</span> <span class="token operator">=&gt;</span> <span class="token punctuation">{</span>
  console <span class="token punctuation">.</span> <span class="token function">log</span> <span class="token punctuation">(</span> <span class="token string">'Server running on port 3000'</span> <span class="token punctuation">)</span> <span class="token punctuation">;</span>
<span class="token punctuation">}</span> <span class="token punctuation">)</span> <span class="token punctuation">;</span>

const express = require ( 'express' ) ;

const helmet = require ( 'helmet' ) ;

const app = express ( ) ;

app . use ( helmet ( ) ) ;

app . get ( '/' , ( req , res ) => {

res . send ( 'Hello, secure world!' ) ;

} ) ;

app . listen ( 3000 , ( ) => {

console . log ( 'Server running on port 3000' ) ;

} ) ;

Mũ bảo hiểm đặt các tiêu đề bảo mật khác nhau, chẳng hạn như Chính sách bảo mật nội dung, Tùy chọn loại nội dung X, Tùy chọn khung X và Bảo vệ X-XSS. Bạn có thể tùy chỉnh thêm các tiêu đề cho phù hợp với nhu cầu của ứng dụng.

3. Xác thực và ủy quyền

3.1. Mã thông báo web JSON (JWT)

JSON Web Tokens (JWT) cung cấp một phương thức an toàn và không trạng thái để xác thực và ủy quyền trong các ứng dụng Node.js. Sử dụng gói jsonwebtoken để tạo và xác minh JWT:

<span class="token function">npm</span> <span class="token function">install</span> jsonwebtoken

1 2	<span class="token function">npm</span> <span class="token function">install</span> jsonwebtoken

Tạo JWT bằng khóa bí mật:

<span class="token keyword">const</span> jwt <span class="token operator">=</span> <span class="token function">require</span> <span class="token punctuation">(</span> <span class="token string">'jsonwebtoken'</span> <span class="token punctuation">)</span> <span class="token punctuation">;</span>

<span class="token keyword">const</span> payload <span class="token operator">=</span> <span class="token punctuation">{</span> userId <span class="token operator">:</span> <span class="token number">1</span> <span class="token punctuation">,</span> role <span class="token operator">:</span> <span class="token string">'admin'</span> <span class="token punctuation">}</span> <span class="token punctuation">;</span>
<span class="token keyword">const</span> secretKey <span class="token operator">=</span> <span class="token string">'my-secret-key'</span> <span class="token punctuation">;</span>
<span class="token keyword">const</span> token <span class="token operator">=</span> jwt <span class="token punctuation">.</span> <span class="token function">sign</span> <span class="token punctuation">(</span> payload <span class="token punctuation">,</span> secretKey <span class="token punctuation">,</span> <span class="token punctuation">{</span> expiresIn <span class="token operator">:</span> <span class="token string">'1h'</span> <span class="token punctuation">}</span> <span class="token punctuation">)</span> <span class="token punctuation">;</span>

console <span class="token punctuation">.</span> <span class="token function">log</span> <span class="token punctuation">(</span> token <span class="token punctuation">)</span> <span class="token punctuation">;</span>

const jwt = require ( 'jsonwebtoken' ) ;

const payload = { userId : 1 , role : 'admin' } ;

const secretKey = 'my-secret-key' ;

const token = jwt . sign ( payload , secretKey , { expiresIn : '1h' } ) ;

console . log ( token ) ;

Xác minh JWT và giải mã tải trọng:

<span class="token keyword">const</span> decoded <span class="token operator">=</span> jwt <span class="token punctuation">.</span> <span class="token function">verify</span> <span class="token punctuation">(</span> token <span class="token punctuation">,</span> secretKey <span class="token punctuation">)</span> <span class="token punctuation">;</span>
console <span class="token punctuation">.</span> <span class="token function">log</span> <span class="token punctuation">(</span> decoded <span class="token punctuation">)</span> <span class="token punctuation">;</span>

const decoded = jwt . verify ( token , secretKey ) ;

console . log ( decoded ) ;

Lưu trữ khóa bí mật một cách an toàn, tốt nhất là dưới dạng biến môi trường hoặc trong giải pháp quản lý bí mật.

3.2. OAuth 2.0

OAuth 2.0 là một tiêu chuẩn được sử dụng rộng rãi để xác thực và ủy quyền, cho phép người dùng cấp cho các ứng dụng của bên thứ ba quyền truy cập vào tài nguyên của họ. Sử dụng phần mềm trung gian Passport.js và chiến lược OAuth 2.0, chẳng hạn như passport-google-oauth20, để xác thực người dùng:

<span class="token function">npm</span> <span class="token function">install</span> passport passport-google-oauth20

1 2	<span class="token function">npm</span> <span class="token function">install</span> passport passport-google-oauth20

Định cấu hình Hộ chiếu và chiến lược Google OAuth 2.0:

<span class="token keyword">const</span> passport <span class="token operator">=</span> <span class="token function">require</span> <span class="token punctuation">(</span> <span class="token string">'passport'</span> <span class="token punctuation">)</span> <span class="token punctuation">;</span>
<span class="token keyword">const</span> GoogleStrategy <span class="token operator">=</span> <span class="token function">require</span> <span class="token punctuation">(</span> <span class="token string">'passport-google-oauth20'</span> <span class="token punctuation">)</span> <span class="token punctuation">.</span> Strategy <span class="token punctuation">;</span>

passport <span class="token punctuation">.</span> <span class="token function">use</span> <span class="token punctuation">(</span> <span class="token keyword">new</span> <span class="token class-name">GoogleStrategy</span> <span class="token punctuation">(</span> <span class="token punctuation">{</span>
    clientID <span class="token operator">:</span> process <span class="token punctuation">.</span> env <span class="token punctuation">.</span> <span class="token constant">GOOGLE_CLIENT_ID</span> <span class="token punctuation">,</span>
    clientSecret <span class="token operator">:</span> process <span class="token punctuation">.</span> env <span class="token punctuation">.</span> <span class="token constant">GOOGLE_CLIENT_SECRET</span> <span class="token punctuation">,</span>
    callbackURL <span class="token operator">:</span> <span class="token string">'/auth/google/callback'</span>
  <span class="token punctuation">}</span> <span class="token punctuation">,</span>
  <span class="token punctuation">(</span> <span class="token parameter">accessToken <span class="token punctuation">,</span> refreshToken <span class="token punctuation">,</span> profile <span class="token punctuation">,</span> done</span> <span class="token punctuation">)</span> <span class="token operator">=&gt;</span> <span class="token punctuation">{</span>
    <span class="token comment">// Save or update user information in your database</span>
    <span class="token function">done</span> <span class="token punctuation">(</span> <span class="token keyword">null</span> <span class="token punctuation">,</span> profile <span class="token punctuation">)</span> <span class="token punctuation">;</span>
  <span class="token punctuation">}</span>
<span class="token punctuation">)</span> <span class="token punctuation">)</span> <span class="token punctuation">;</span>

const passport = require ( 'passport' ) ;

const GoogleStrategy = require ( 'passport-google-oauth20' ) . Strategy ;

passport . use ( new GoogleStrategy ( {

clientID : process . env . GOOGLE_CLIENT_ID ,

clientSecret : process . env . GOOGLE_CLIENT_SECRET ,

callbackURL : '/auth/google/callback'

} ,

( accessToken , refreshToken , profile , done ) => {

// Save or update user information in your database

done ( null , profile ) ;

}

) ) ;

Thực hiện các tuyến xác thực:

app <span class="token punctuation">.</span> <span class="token function">get</span> <span class="token punctuation">(</span> <span class="token string">'/auth/google'</span> <span class="token punctuation">,</span> passport <span class="token punctuation">.</span> <span class="token function">authenticate</span> <span class="token punctuation">(</span> <span class="token string">'google'</span> <span class="token punctuation">,</span> <span class="token punctuation">{</span> scope <span class="token operator">:</span> <span class="token punctuation">[</span> <span class="token string">'profile'</span> <span class="token punctuation">,</span> <span class="token string">'email'</span> <span class="token punctuation">]</span> <span class="token punctuation">}</span> <span class="token punctuation">)</span> <span class="token punctuation">)</span> <span class="token punctuation">;</span>

app <span class="token punctuation">.</span> <span class="token function">get</span> <span class="token punctuation">(</span> <span class="token string">'/auth/google/callback'</span> <span class="token punctuation">,</span> passport <span class="token punctuation">.</span> <span class="token function">authenticate</span> <span class="token punctuation">(</span> <span class="token string">'google'</span> <span class="token punctuation">,</span> <span class="token punctuation">{</span> failureRedirect <span class="token operator">:</span> <span class="token string">'/login'</span> <span class="token punctuation">}</span> <span class="token punctuation">)</span> <span class="token punctuation">,</span> <span class="token punctuation">(</span> <span class="token parameter">req <span class="token punctuation">,</span> res</span> <span class="token punctuation">)</span> <span class="token operator">=&gt;</span> <span class="token punctuation">{</span>
  res <span class="token punctuation">.</span> <span class="token function">redirect</span> <span class="token punctuation">(</span> <span class="token string">'/'</span> <span class="token punctuation">)</span> <span class="token punctuation">;</span>
<span class="token punctuation">}</span> <span class="token punctuation">)</span> <span class="token punctuation">;</span>

app . get ( '/auth/google' , passport . authenticate ( 'google' , { scope : [ 'profile' , 'email' ] } ) ) ;

app . get ( '/auth/google/callback' , passport . authenticate ( 'google' , { failureRedirect : '/login' } ) , ( req , res ) => {

res . redirect ( '/' ) ;

} ) ;

4. Xác thực và làm sạch đầu vào

4.1. Phần mềm trung gian Express-Validator

Xác thực và làm sạch đầu vào của người dùng là rất quan trọng để ngăn chặn các lỗ hổng bảo mật như tấn công XSS và SQL injection. Sử dụng phần mềm trung gian xác thực nhanh để xác thực và làm sạch đầu vào trong ứng dụng Express của bạn:

<span class="token function">npm</span> <span class="token function">install</span> express-validator

1 2	<span class="token function">npm</span> <span class="token function">install</span> express-validator

Tạo quy tắc xác thực và vệ sinh:

<span class="token keyword">const</span> <span class="token punctuation">{</span> body <span class="token punctuation">}</span> <span class="token operator">=</span> <span class="token function">require</span> <span class="token punctuation">(</span> <span class="token string">'express-validator'</span> <span class="token punctuation">)</span> <span class="token punctuation">;</span>

<span class="token keyword">const</span> userValidationRules <span class="token operator">=</span> <span class="token punctuation">[</span>
  <span class="token function">body</span> <span class="token punctuation">(</span> <span class="token string">'username'</span> <span class="token punctuation">)</span> <span class="token punctuation">.</span> <span class="token function">trim</span> <span class="token punctuation">(</span> <span class="token punctuation">)</span> <span class="token punctuation">.</span> <span class="token function">isLength</span> <span class="token punctuation">(</span> <span class="token punctuation">{</span> min <span class="token operator">:</span> <span class="token number">3</span> <span class="token punctuation">}</span> <span class="token punctuation">)</span> <span class="token punctuation">,</span>
  <span class="token function">body</span> <span class="token punctuation">(</span> <span class="token string">'email'</span> <span class="token punctuation">)</span> <span class="token punctuation">.</span> <span class="token function">isEmail</span> <span class="token punctuation">(</span> <span class="token punctuation">)</span> <span class="token punctuation">.</span> <span class="token function">normalizeEmail</span> <span class="token punctuation">(</span> <span class="token punctuation">)</span> <span class="token punctuation">,</span>
  <span class="token function">body</span> <span class="token punctuation">(</span> <span class="token string">'password'</span> <span class="token punctuation">)</span> <span class="token punctuation">.</span> <span class="token function">isLength</span> <span class="token punctuation">(</span> <span class="token punctuation">{</span> min <span class="token operator">:</span> <span class="token number">8</span> <span class="token punctuation">}</span> <span class="token punctuation">)</span> <span class="token punctuation">.</span> <span class="token function">trim</span> <span class="token punctuation">(</span> <span class="token punctuation">)</span>
<span class="token punctuation">]</span> <span class="token punctuation">;</span>

const { body } = require ( 'express-validator' ) ;

const userValidationRules = [

body ( 'username' ) . trim ( ) . isLength ( { min : 3 } ) ,

body ( 'email' ) . isEmail ( ) . normalizeEmail ( ) ,

body ( 'password' ) . isLength ( { min : 8 } ) . trim ( )

] ;

Áp dụng các quy tắc cho tuyến đường của bạn:

<span class="token keyword">const</span> <span class="token punctuation">{</span> validationResult <span class="token punctuation">}</span> <span class="token operator">=</span> <span class="token function">require</span> <span class="token punctuation">(</span> <span class="token string">'express-validator'</span> <span class="token punctuation">)</span> <span class="token punctuation">;</span>

app <span class="token punctuation">.</span> <span class="token function">post</span> <span class="token punctuation">(</span> <span class="token string">'/register'</span> <span class="token punctuation">,</span> userValidationRules <span class="token punctuation">,</span> <span class="token punctuation">(</span> <span class="token parameter">req <span class="token punctuation">,</span> res</span> <span class="token punctuation">)</span> <span class="token operator">=&gt;</span> <span class="token punctuation">{</span>
  <span class="token keyword">const</span> errors <span class="token operator">=</span> <span class="token function">validationResult</span> <span class="token punctuation">(</span> req <span class="token punctuation">)</span> <span class="token punctuation">;</span>
  <span class="token keyword">if</span> <span class="token punctuation">(</span> <span class="token operator">!</span> errors <span class="token punctuation">.</span> <span class="token function">isEmpty</span> <span class="token punctuation">(</span> <span class="token punctuation">)</span> <span class="token punctuation">)</span> <span class="token punctuation">{</span>
    <span class="token keyword">return</span> res <span class="token punctuation">.</span> <span class="token function">status</span> <span class="token punctuation">(</span> <span class="token number">400</span> <span class="token punctuation">)</span> <span class="token punctuation">.</span> <span class="token function">json</span> <span class="token punctuation">(</span> <span class="token punctuation">{</span> errors <span class="token operator">:</span> errors <span class="token punctuation">.</span> <span class="token function">array</span> <span class="token punctuation">(</span> <span class="token punctuation">)</span> <span class="token punctuation">}</span> <span class="token punctuation">)</span> <span class="token punctuation">;</span>
  <span class="token punctuation">}</span>

  <span class="token comment">// Continue with registration logic</span>
<span class="token punctuation">}</span> <span class="token punctuation">)</span> <span class="token punctuation">;</span>

const { validationResult } = require ( 'express-validator' ) ;

app . post ( '/register' , userValidationRules , ( req , res ) => {

const errors = validationResult ( req ) ;

if ( ! errors . isEmpty ( ) ) {

return res . status ( 400 ) . json ( { errors : errors . array ( ) } ) ;

}

// Continue with registration logic

} ) ;

4.2. Ngăn chặn SQL injection

Các cuộc tấn công chèn SQL có thể xâm phạm dữ liệu ứng dụng của bạn bằng cách đưa mã SQL độc hại vào đầu vào của người dùng. Sử dụng các truy vấn được tham số hóa hoặc các câu lệnh đã chuẩn bị để ngăn chặn SQL injection trong ứng dụng của bạn.

Ví dụ: sử dụng gói mysql2, một truy vấn được tham số hóa có thể được thực thi như sau:

<span class="token function">npm</span> <span class="token function">install</span> mysql2

1 2	<span class="token function">npm</span> <span class="token function">install</span> mysql2

Tạo truy vấn SQL an toàn bằng trình giữ chỗ:

<span class="token keyword">const</span> mysql <span class="token operator">=</span> <span class="token function">require</span> <span class="token punctuation">(</span> <span class="token string">'mysql2'</span> <span class="token punctuation">)</span> <span class="token punctuation">;</span>

<span class="token keyword">const</span> connection <span class="token operator">=</span> mysql <span class="token punctuation">.</span> <span class="token function">createConnection</span> <span class="token punctuation">(</span> <span class="token punctuation">{</span>
  host <span class="token operator">:</span> <span class="token string">'localhost'</span> <span class="token punctuation">,</span>
  user <span class="token operator">:</span> process <span class="token punctuation">.</span> env <span class="token punctuation">.</span> <span class="token constant">DB_USER</span> <span class="token punctuation">,</span>
  password <span class="token operator">:</span> process <span class="token punctuation">.</span> env <span class="token punctuation">.</span> <span class="token constant">DB_PASSWORD</span> <span class="token punctuation">,</span>
  database <span class="token operator">:</span> <span class="token string">'mydb'</span>
<span class="token punctuation">}</span> <span class="token punctuation">)</span> <span class="token punctuation">;</span>

<span class="token keyword">const</span> userId <span class="token operator">=</span> <span class="token string">'1; DROP TABLE users;'</span> <span class="token punctuation">;</span>

connection <span class="token punctuation">.</span> <span class="token function">query</span> <span class="token punctuation">(</span> <span class="token string">'SELECT * FROM users WHERE id = ?'</span> <span class="token punctuation">,</span> <span class="token punctuation">[</span> userId <span class="token punctuation">]</span> <span class="token punctuation">,</span> <span class="token punctuation">(</span> <span class="token parameter">error <span class="token punctuation">,</span> results</span> <span class="token punctuation">)</span> <span class="token operator">=&gt;</span> <span class="token punctuation">{</span>
  <span class="token keyword">if</span> <span class="token punctuation">(</span> error <span class="token punctuation">)</span> <span class="token keyword">throw</span> error <span class="token punctuation">;</span>
  console <span class="token punctuation">.</span> <span class="token function">log</span> <span class="token punctuation">(</span> results <span class="token punctuation">)</span> <span class="token punctuation">;</span>
<span class="token punctuation">}</span> <span class="token punctuation">)</span> <span class="token punctuation">;</span>

connection <span class="token punctuation">.</span> <span class="token function">end</span> <span class="token punctuation">(</span> <span class="token punctuation">)</span> <span class="token punctuation">;</span>

const mysql = require ( 'mysql2' ) ;

const connection = mysql . createConnection ( {

host : 'localhost' ,

user : process . env . DB_USER ,

password : process . env . DB_PASSWORD ,

database : 'mydb'

} ) ;

const userId = '1; DROP TABLE users;' ;

connection . query ( 'SELECT * FROM users WHERE id = ?' , [ userId ] , ( error , results ) => {

if ( error ) throw error ;

console . log ( results ) ;

} ) ;

connection . end ( ) ;

Bằng cách sử dụng trình giữ chỗ, giá trị đầu vào được thoát đúng cách, ngăn chặn các cuộc tấn công SQL injection.

5. Quản lý phụ thuộc

5.1. Cập nhật phụ thuộc

Các phần phụ thuộc đã lỗi thời có thể đưa các lỗ hổng bảo mật vào ứng dụng của bạn. Thường xuyên cập nhật các phụ thuộc của bạn để giữ an toàn cho ứng dụng của bạn.

Sử dụng lệnh lỗi thời npm để liệt kê các phụ thuộc lỗi thời:

<span class="token function">npm</span> outdated

1 2	<span class="token function">npm</span> outdated

Cập nhật các phụ thuộc đã lỗi thời bằng cập nhật npm:

<span class="token function">npm</span> update

1 2	<span class="token function">npm</span> update

5.2. Sử dụng Trình quét lỗ hổng

Thường xuyên quét các phần phụ thuộc của ứng dụng để tìm các lỗ hổng đã biết bằng các công cụ như kiểm toán npm hoặc Snyk:

<span class="token function">npm</span> audit

1 2	<span class="token function">npm</span> audit

Khắc phục các lỗ hổng được báo cáo bằng cách sử dụng bản sửa lỗi kiểm toán npm:

<span class="token function">npm</span> audit fix

1 2	<span class="token function">npm</span> audit fix

Cân nhắc việc tích hợp một trình quét lỗ hổng vào quy trình CI/CD của bạn để tự động kiểm tra các lỗ hổng trong quá trình xây dựng.

6. Ghi nhật ký và giám sát

6.1. Ghi nhật ký thực tiễn tốt nhất

Ghi nhật ký đúng cách là điều cần thiết để phát hiện và chẩn đoán sự cố, cũng như xác định các mối đe dọa bảo mật tiềm ẩn. Thực hiện các phương pháp hay nhất sau đây để đăng nhập ứng dụng Node.js của bạn:

Sử dụng thư viện ghi nhật ký, chẳng hạn như Winston hoặc Bunyan, để tạo nhật ký có cấu trúc và định dạng.
Đăng nhập ở các cấp độ khác nhau (ví dụ: lỗi, cảnh báo, thông tin, gỡ lỗi) để cung cấp mức độ chi tiết và ngữ cảnh.
Tránh ghi dữ liệu nhạy cảm, chẳng hạn như mật khẩu, khóa API hoặc thông tin nhận dạng cá nhân (PII).
Sử dụng các công cụ phân tích và quản lý nhật ký, như Logstash, Elaticsearch và Kibana (ngăn xếp ELK), để lưu trữ, phân tích và trực quan hóa nhật ký.

6.2. Công cụ giám sát

Giám sát ứng dụng của bạn là rất quan trọng để đảm bảo hiệu suất, tính khả dụng và bảo mật của nó. Sử dụng các công cụ giám sát như New Relic, Datadog hoặc Prometheus để thu thập, phân tích và trực quan hóa các chỉ số và nhật ký hiệu suất.

Thiết lập cảnh báo để thông báo cho bạn về các sự cố tiềm ẩn hoặc sự cố bảo mật và sử dụng dữ liệu đã thu thập để tối ưu hóa ứng dụng và cơ sở hạ tầng của bạn.

7. Chiến lược triển khai

7.1. Container và Docker

Bộ chứa cung cấp một môi trường nhẹ, di động và nhất quán để triển khai và chạy các ứng dụng. Sử dụng Docker để chứa ứng dụng Node.js của bạn:

Tạo một Dockerfile trong thư mục gốc của dự án của bạn:

FROM node <span class="token punctuation">:</span> <span class="token number">16</span>

WORKDIR /app

COPY package <span class="token important">*.json</span> ./

RUN npm install

COPY . .

EXPOSE 3000

CMD <span class="token punctuation">[</span> <span class="token string">"node"</span> <span class="token punctuation">,</span> <span class="token string">"app.js"</span> <span class="token punctuation">]</span>

FROM node : 16

WORKDIR /app

COPY package *.json ./

RUN npm install

COPY . .

EXPOSE 3000

CMD [ "node" , "app.js" ]

Xây dựng và chạy ứng dụng của bạn trong bộ chứa Docker:

docker build -t my-node-app <span class="token builtin class-name">.</span>
docker run -p <span class="token number">3000</span> :3000 -d my-node-app

docker build -t my-node-app .

docker run -p 3000 :3000 -d my-node-app

7.2. Tích hợp liên tục và triển khai liên tục (CI/CD)

Triển khai quy trình CI/CD để tự động hóa quy trình xây dựng, thử nghiệm và triển khai ứng dụng Node.js của bạn. Sử dụng các công cụ như Jenkins, GitLab CI/CD hoặc GitHub Actions để tạo quy trình:

Chạy các bài kiểm tra đơn vị và công cụ linting trên mọi yêu cầu cam kết hoặc kéo.
Quét các phần phụ thuộc để tìm lỗ hổng.
Xây dựng và đóng gói ứng dụng.
Triển khai ứng dụng vào môi trường dàn dựng để thử nghiệm thêm.
Triển khai ứng dụng vào sản xuất khi các bài kiểm tra dàn vượt qua và các thay đổi được phê duyệt.
Quy trình này giúp bạn phát hiện sớm các sự cố, đảm bảo ứng dụng của bạn luôn ổn định và an toàn trong suốt quá trình phát triển.

Phần kết luận

Bảo mật ứng dụng Node.js trong sản xuất yêu cầu xem xét cẩn thận và triển khai nhiều phương pháp hay nhất. Bằng cách làm theo các chiến lược được nêu trong bài viết này, chẳng hạn như định cấu hình môi trường của bạn một cách an toàn, mã hóa thông tin liên lạc, triển khai xác thực và ủy quyền mạnh mẽ, xác thực và làm sạch đầu vào của người dùng, quản lý các phần phụ thuộc, ghi nhật ký và giám sát cũng như áp dụng các chiến lược triển khai hiện đại, bạn có thể cải thiện đáng kể khả năng bảo mật và tính ổn định của ứng dụng Node.js của bạn trong môi trường sản xuất.

Hãy nhớ rằng bảo mật là một quá trình liên tục và bạn nên liên tục cập nhật kiến thức và thực tiễn của mình để vượt qua các mối đe dọa và lỗ hổng tiềm ẩn.

Và cuối cùng

Như mọi khi, tôi hy vọng bạn thích bài viết này và có một cái gì đó mới. Xin cảm ơn và hẹn gặp lại các bạn trong những bài viết tiếp theo!

Nếu các bạn thích bài viết này thì hãy cho mình 1 like và subscribe để ủng hộ mình nhé. Cảm ơn.

Giới thiệu

https://tuan200tokyo.blogspot.com/2023/04/blog236-securely-deploying-nodejs.html

Chia sẻ bài viết ngay

Nguồn bài viết : Viblo

Triển khai an toàn các ứng dụng Node.js trong sản xuất

Giới thiệu

1. Cấu hình môi trường

1.1. Biến môi trường

1.2. Tránh thông tin xác thực được mã hóa cứng

2. Giao tiếp an toàn

2.1. HTTPS và SSL/TLS

2.2. Tiêu đề bảo mật HTTP

3. Xác thực và ủy quyền

3.1. Mã thông báo web JSON (JWT)

3.2. OAuth 2.0

4. Xác thực và làm sạch đầu vào

4.1. Phần mềm trung gian Express-Validator

4.2. Ngăn chặn SQL injection

5. Quản lý phụ thuộc

5.1. Cập nhật phụ thuộc

5.2. Sử dụng Trình quét lỗ hổng

6. Ghi nhật ký và giám sát

6.1. Ghi nhật ký thực tiễn tốt nhất

6.2. Công cụ giám sát

7. Chiến lược triển khai

7.1. Container và Docker

7.2. Tích hợp liên tục và triển khai liên tục (CI/CD)

Phần kết luận

Và cuối cùng

Giới thiệu

TikTok trở thành nền tảng mảng xã hội lớn thứ hai ở Nam Phi

Mất giá nhanh nhất sau 9 tháng ra mắt, iPhone 14 Pro Max tiếp tục phá đáy tại Việt Nam

Hướng dẫn sử dụng ngôn ngữ R cho người mới bắt đầu

10 plugin cần thiết của SublimeText dành cho các lập trình viên JavaScript