譯者 | 劉濤

審校 | 重樓

疫情過后，企業在技術革新領域加大投資力度，推動 Web 開發生態系統實現了快速擴張。Node.js作為支撐現代行業運營的關鍵基礎技術，被廣泛應用于眾多 Web 應用程序的開發，無論是大型科技企業，還是小型初創公司，均對其有著較高的依賴度。然而，若安全措施落實不到位，Node.js 應用便可能出現安全漏洞，為攻擊者提供可利用的切入點。

要點總結

• 為減少攻擊面，Node.js 應用程序需對依賴項開展審計工作、對輸入進行驗證，并實施速率限制措施。
• 構建強大的身份驗證與授權策略，涵蓋安全的密碼哈希處理以及合理的JWT配置（JSON Web Token：是一種基于JSON的開放標準【RFC 7519】，用于在網絡上的兩個實體【通常是客戶端和服務器】之間安全地傳遞信息），這對保護用戶數據至關重要。
• 敏感配置與密鑰管理應借助環境變量實現，同時采用 HTTPS 協議保障數據傳輸的安全性。
• 實施結構化的錯誤處理與完善的日志記錄系統，通過隱藏系統內部信息維護應用程序的完整性。
• 安全保障需貫穿整個生命周期，包括持續監控與配置驗證，同時負責任的支持利用security.txt機制進行漏洞披露。

為何安全比以往任何時候都更重要

在深入探究技術細節之前，有必要明確保障Node.js應用程序安全的重要意義：

• 數據保護：Node.js應用程序通常會處理用戶憑證、支付詳情以及個人數據等敏感信息，此類信息在當今數字化時代具有極高價值，可類比為 “數字黃金”。用戶基于信任，將這些信息交由應用程序運營方保護。
• 合規要求：不同國家和地區制定了相關法規，如《通用數據保護條例》（GDPR）和《加利福尼亞消費者隱私法案》（CCPA），對數據泄露行為設定了高額罰款。大量案例研究已對違規后果進行了詳細記錄。
• 業務連續性：數據泄露可能引發重大的業務和運營損失。依據應用程序的規模不同，數據泄露事件可能對業務造成毀滅性打擊，并降低客戶對公司的信任度。
• 不斷擴大的攻擊面：惡意軟件包安裝攻擊的風險客觀存在。在應用程序開發過程中，可能會因疏忽安裝包含惡意軟件的軟件包，進而使惡意行為者獲得訪問應用程序的權限。

1.確保依賴項的及時更新與安全

在npm（Node 包管理器Node Package Manager的縮寫，是JavaScript生態系統中最常用的包管理工具，主要用于管理 Node.js 項目中的依賴包）生態系統中，軟件包發布的開放性較高，任何用戶均可將軟件包發布至 npmjs 網站。這就導致在下載軟件包時，一個拼寫錯誤便可能致使下載到看似正規、實則為假冒的庫。即便所使用的庫本身無誤，其依賴項也可能對系統安全構成威脅。

定期開展依賴項審計

首要的安全措施是定期對依賴項進行審計：

# 檢查已知漏洞
npm audit 
# 在可能的情況下自動修復問題
npm audit fix 
# 進行更詳細的分析
npm audit --audit-level moderate

使用高級安全工具

對于企業級應用程序，建議采用綜合性工具：這類工具具備全面的功能，能夠對應用程序的依賴項進行多維度的檢測與管理。它們可以精準識別出依賴項中存在的潛在安全漏洞、版本過時等問題，為企業應用程序的穩定運行和安全保障提供有力支持。

# 全局安裝Snyk
npm install -g snyk 
# 測試你的項目
snyk test 
# 持續監控
snyk monitor

依賴項更新策略

制定一套系統化的更新策略：

{
 "scripts": {
 "security-check": "npm audit && snyk test",
 "update-check": "npm outdated",
 "safe-update": "npm update --save"
 }
}

NPM審計示例

2.實施強健的身份驗證與授權機制

身份驗證作為首要防線，用于授予用戶訪問數據庫的權限。若身份驗證機制薄弱，無異于前門未鎖，易使系統暴露于風險之中。

密碼安全最佳措施

嚴禁以明文形式存儲密碼，應采用高強度的哈希算法：

const bcrypt = require('bcrypt');

// Hash password during registration
async function hashPassword(plainPassword) {
 const saltRounds = 12; // Higher is more secure but slower
 return await bcrypt.hash(plainPassword, saltRounds);
}

// Verify password during login
async function verifyPassword(plainPassword, hashedPassword) {
 return await bcrypt.compare(plainPassword, hashedPassword);
}

安全實施 JSON Web 令牌（JWT）

JSON Web令牌在憑證管理領域應用廣泛，但需進行正確的實施與配置。它是基于密鑰進行哈希處理的字符串，不過因其存儲內容可被任意讀取，存在一定安全風險。因此，正確實施 JWT 至關重要：

const jwt = require('jsonwebtoken');
const crypto = require('crypto');

// Generate a secure secret (do this once and store securely)
Const JWT_SECRET = process.env.JWT_SECRET || 
crypto.randomBytes(64).toString('hex');

// Create token with expiration
function createToken(userId) {
 return jwt.sign(
 { userId, timestamp: Date.now() },
 JWT_SECRET,
 {
 expiresIn: '1h',
 issuer: 'your-app-name',
 audience: 'your-app-users'
 }
 );
}

3.輸入驗證與清理

“永遠不要信任用戶輸入” 是開發者群體中廣泛流傳的一條準則。對于所有來自外部源的數據，特別是用戶輸入，都必須進行驗證和清理。

利用Zod開展模式驗證

Zod提供了一種現代化的、以TypeScript為優先的驗證方法，具有更優的類型安全性。作為一個以 TypeScript 優先的驗證庫，借助 Zod 能夠定義模式，對從簡單字符串到復雜嵌套對象等各類數據進行驗證。

4.速率限制與分布式拒絕服務（DDoS）防護

用戶可能會對特定端點進行濫用，而運行這些端點的成本可能較高。可通過實施速率限制，保護應用程序不被濫用，并避免預算超支。

const rateLimit = require('express-rate-limit');
const slowDown = require('express-slow-down');

// General rate limiting
const generalLimiter = rateLimit({
 windowMs: 15 * 60 * 1000, // 15 minutes
 max: 100, // Limit each IP to 100 requests per windowMs
 message: {
 error: 'Too many requests from this IP, please try again later'
 },
 standardHeaders: true,
 legacyHeaders: false,
});

同樣，可以針對身份驗證和路由設置額外的速率限制器，例如對圖像加載操作或運行高成本算法的過程進行速率限制。

5.環境配置與密鑰管理

應用程序可能會使用各類服務，同時需要對一些密鑰進行保密處理，如數據庫憑證。防止數據庫遭受未經授權的訪問是保障系統安全的重要環節。

在開發學習階段，開發者往往會在代碼中硬編碼密鑰。然而，這種做法在生產環境中存在極高風險。隨著應用程序規模的擴大，代碼可能因各種意外情況而被泄露。一旦密鑰泄露，攻擊者將能夠直接訪問系統。

必須確保敏感信息不被包含在代碼庫中：

// Never do this
const dbPassword = 'mySecretPassword123';
const apiKey = 'sk-1234567890abcdef';

// Use environment variables
const dbPassword = process.env.DB_PASSWORD;
const apiKey = process.env.API_KEY;

// Validate required environment variables
function validateEnvironment() {
 const required = ['DB_PASSWORD', 'JWT_SECRET', 'API_KEY'];
 const missing = required.filter(key => !process.env[key]);

 if (missing.length > 0) {
 console.error('Missing required environment variables:', missing);
 process.exit(1);
 }
} validateEnvironment();

6.代碼質量與最佳實踐：劣質代碼與優質代碼

編寫具備安全性的代碼，不僅要求實現安全特性，還需編寫簡潔、易于維護的代碼，以此降低引入安全漏洞的概率。劣質的編碼實踐往往會制造出可被攻擊者利用的安全漏洞，而良好的編碼實踐則能從根本上增強應用程序的安全性能。

代碼質量對安全的重要性

開發者在編寫草率或難以維護的代碼時，可能會無意中引入安全漏洞。匆忙的代碼實現、糟糕的錯誤處理以及不清晰的邏輯路徑，均可能導致安全隱患。代碼質量與安全之間的關聯程度，遠超多數開發者的認知。

現代 JavaScript 應用程序需要嚴謹的方式來處理異步操作、錯誤處理和資源管理。這些方面既為提升安全性提供了契機，也可能引發嚴重的安全問題。

Async/Await vs Promise：不止于語法差異

在 async/await 和傳統的promise鏈式調用之間進行選擇，不僅會影響代碼的可讀性，還與安全性和可靠性密切相關。promise 鏈式調用會形成復雜的嵌套作用域，在這些作用域中，變量可能處于未定義狀態，進而引發運行時錯誤，導致敏感信息泄露或使應用程序進入異常狀態。

Promise鏈式調用的弊端：Promise 鏈式調用常存在作用域問題，在一個.then() 塊中聲明的變量，在后續塊中可能無法使用。這會引發引用錯誤、未定義行為，若錯誤狀態未得到妥善處理，還可能產生安全漏洞。

// Scope issues and poor error handling
function getUserData(userId) {
 return db.users.findById(userId)
 .then(user => {
 return db.profiles.findByUserId(user.id);
 })
 .then(profile => {
 return { user: user, profile }; // ReferenceError: user is not defined
 })
 .catch(error => {
 console.log(error); // Poor error handling
 });
}

Async/Await的優勢：Async/Await機制能夠實現更精準的變量作用域控制、更完善的錯誤處理以及更具可預測性的執行流程。這些特性降低了因未定義狀態而被攻擊利用的風險。

async function getUserData(userId) {
 try {
 const user = await db.users.findById(userId);
 const profile = await db.profiles.findByUserId(user.id);
 return { user, profile };
 } catch (error) {
 logger.error('User data retrieval failed', { userId, error: error.message });
 throw new Error('Unable to retrieve user information');
 }
}

通過優化模式確保數據庫安全

數據庫交互是代碼質量對安全產生直接影響的關鍵領域之一。在查詢中進行字符串拼接，是劣質編碼實踐引發嚴重安全漏洞的典型案例。

SQL 注入風險:開發者若將用戶輸入直接拼接到SQL查詢中，便為SQL注入攻擊創造了條件。這并非理論上的潛在威脅，而是 Web 應用程序中最為常見的攻擊方式之一。

SQL注入的其他問題:即便采用對象關系映射（ORM），像回調地獄(callback hell:是指JavaScript中因嵌套過多回調函數而導致代碼可讀性差、維護困難的現象)這類不良模式也會使事務管理的正確實現變得困難，進而導致數據不一致，還可能出現可被攻擊者利用的競爭條件。

// Secure parameterized query
const query = 'SELECT * FROM users WHERE email = $1';
const result = await db.query(query, [email]);

錯誤處理：安全邊界的構建

錯誤處理環節是眾多應用程序泄露敏感信息的高發區域。不當的錯誤處理不僅會給用戶帶來糟糕的體驗，還會為攻擊者提供有關系統內部的關鍵偵察信息。

錯誤導致的信息泄露：當應用程序通過錯誤響應暴露堆棧跟蹤、數據庫錯誤消息或內部系統細節時，就相當于向攻擊者透露了系統架構、文件結構和潛在漏洞等有價值的信息。

靜默失敗的隱患：另一方面，對錯誤的靜默忽略可能會掩蓋安全事件，使檢測正在進行的攻擊或系統受損情況變得極為困難。

正確的錯誤邊界設定：有效的錯誤處理能夠在內部系統信息和外部錯誤響應之間建立清晰的界限。它既便于開發者記錄詳細信息，又能向用戶提供安全、通用的錯誤消息。

作為安全層面的配置管理

配置和環境變量的管理方式對應用程序的安全有著直接影響。硬編碼密鑰、缺乏驗證以及不良的配置模式會在應用程序的整個生命周期中持續存在安全隱患。

硬編碼密鑰的危害：在源代碼中硬編碼憑證和 API 密鑰是最為危險的安全反模式之一。這些密鑰往往會出現在版本控制系統中，在團隊成員間共享，并且若不修改代碼就無法進行輪換。

環境變量的驗證：僅僅使用環境變量是不夠的，還需要驗證所需變量是否存在且其值是否合適。缺乏驗證可能導致應用程序以不安全的狀態啟動，或者出現不可預測的故障。

架構模式與安全保障

應用程序代碼的結構方式會影響安全措施的實施和維護難度。將驗證、業務邏輯和數據訪問混為一體的單體路由處理程序，難以持續、一致地應用安全控制。

關注點的分離：當驗證邏輯與業務邏輯和數據訪問相互交織時，很容易意外繞過安全檢查。清晰的分離能夠使安全控制更加直觀且易于維護。

中間件模式的優勢：結構合理的中間件管道可確保安全檢查在整個應用程序中得到統一應用。同時，這也使安全控制的審計和測試工作更加便捷。

資源管理與拒絕服務防范

不良的資源管理可能引發性能問題，并為拒絕服務攻擊提供可乘之機。內存泄漏、未關閉的連接以及無限制的緩存都是潛在的攻擊途徑。

基于內存的攻擊威脅：攻擊者可以利用內存管理不善的應用程序，引發內存泄漏或導致過度的內存分配，這可能會使應用程序崩潰或導致服務器不穩定。

連接池耗盡的風險：攻擊者若觸發資源耗盡，可能會使那些未能正確管理數據庫連接或外部 API 調用的應用程序不堪重負。

良好實踐的綜合效應

每一項良好實踐看似作用有限，但它們相互結合，能夠顯著提升應用程序的安全性。當正確運用 async/await、參數化查詢、全面的錯誤處理、安全的配置管理以及合理的架構模式時，就能針對各種攻擊途徑構建多層次的防御體系。

關鍵在于，安全不僅僅是添加安全功能，更重要的是構建這樣的應用程序：使其難以進入不安全狀態，并且一旦發生安全違規能夠立即被察覺。

7.錯誤處理與日志記錄

即便應用程序在開發者自身使用時表現完美，但在面向用戶投入使用后，仍可能出現故障，進而導致關鍵信息泄露給不具備訪問權限的用戶。一旦敏感數據被他人獲取，將會引發嚴重的安全問題。因此，持續實施日志記錄和錯誤處理機制至關重要，這不僅有助于提升用戶體驗，還能加深對應用程序運行狀況的了解。

可利用Winston（用于Node.js 應用程序的一種日志記錄工具，功能強大、靈活多變，能為開發者提供出色的日志管理體驗）工具進行事件和錯誤記錄：

const winston = require('winston');

// Configure logging
const logger = winston.createLogger({
 level: 'info',
 format: winston.format.combine(
 winston.format.timestamp(),
 winston.format.errors({ stack: true }),
 winston.format.json()
 ),
 transports: [
 new winston.transports.File({ filename: 'error.log', level: 'error' }),
 new winston.transports.File({ filename: 'combined.log' })
 ]
});

// Global error handler
app.use((err, req, res, next) => {
 // Log the error
 logger.error('Unhandled error', {
 error: err.message,
 stack: err.stack,
 url: req.url,
 method: req.method,
 ip: req.ip
 });

 // Don't leak error details in production
 if (process.env.NODE_ENV === 'production') {
 res.status(500).json({
 error: 'Something went wrong. Please try again later.'
 });
 } else {
 res.status(500).json({
 error: err.message,
 stack: err.stack
 });
 }
});

// Graceful error handling for async routes
const asyncHandler = (fn) => (req, res, next) => {
 Promise.resolve(fn(req, res, next)).catch(next);
};

// Usage
app.get('/api/users', asyncHandler(async (req, res) => {
 const users = await User.findAll();
 res.json(users);
}));

優化響應，確保簡潔精準

為提升安全性，可考慮在控制器層面開展響應過濾工作。針對不同業務事項構建標準化響應，通過白名單機制明確規定每個端點應返回的具體字段。采用這種方式，能夠對服務器輸出的數據進行有效管控，防止出現意外的數據過度共享情況。

8.構建清晰的安全報告渠道

最后但同樣重要的是，盡管在編碼過程中采取了謹慎的安全措施，應用程序仍可能出現安全漏洞，這只是時間問題。當用戶或安全研究人員發現應用程序存在安全問題時，他們能否便捷地與開發者取得聯系？若報告渠道不暢，他們可能會放棄反饋，甚至將漏洞信息出售給惡意人員。

安全研究人員和道德黑客主動發現并報告應用程序中的安全漏洞，實際上是在為開發者提供幫助。他們本可以利用這些漏洞謀取私利，或在暗網上出售相關信息，但他們選擇以積極的方式協助解決問題。因此，開發者至少應為他們提供便捷的反饋渠道。

在此方面，security.txt 文件發揮著重要作用。它是為安全研究人員提供的 “協助指南”，以簡單、標準化的格式，明確告知外界如何報告安全問題。該文件通常放置在域名根目錄下，便于任何人查找。

security.txt 的優勢在于其簡潔性。以下是一個實際示例：

Contact: security@yourcompany.com
Contact: https://yourcompany.com/security-report
Encryption: https://yourcompany.com/pgp-key.asc
Preferred-Languages: en, es
Policy: https://yourcompany.com/security-policy
Expires: 2025-12-31T23:59:59.000Z

下面對各部分進行詳細分析。“Contact（聯系方式）” 字段是 security.txt 文件的核心—— 安全研究人員將借助該字段與開發者建立聯系。值得注意的是，可以設置多種聯系方式。例如，同時提供電子郵件和網頁表單，使研究人員能夠根據自身偏好以及報告內容的敏感程度，選擇合適的反饋途徑。

除了基本的 security.txt 文件，還可考慮在網站上創建專門的安全頁面。這能為開發者提供更多空間，用以詳細說明漏洞處理流程，包括研究人員預計的回復時間、完整漏洞報告所需包含的信息，以及漏洞披露的時間安排。部分公司甚至會為協助提升安全性的研究人員提供漏洞獎勵計劃，或進行公開表彰。

關鍵在于確保整個漏洞報告流程盡可能順暢。安全研究人員通常工作繁忙，他們常常自愿投入時間，致力于提升互聯網的安全性。若向開發者報告漏洞的過程困難重重，如需要填寫復雜的表單或應對繁瑣的公司流程，他們可能會選擇其他目標。

需明確的是，這不僅僅是為了展現友好態度，更重要的是保護業務安全。通過正規渠道報告的漏洞，能讓開發者在漏洞被惡意利用之前有足夠時間進行修復。而被惡意行為者發現的漏洞，往往不會給予任何預警。因此，選擇顯而易見。

生產環境安全檢查清單

以下是一份預部署的安全檢查清單，用于確保各項安全要點均已落實：

• 所有依賴項均已完成更新與審計
• 安全標頭已完成正確配置
• 對所有端點均實施了輸入驗證
• 身份驗證與授權機制已正確實現
• 速率限制功能已完成配置
• 敏感數據已進行妥善加密處理
• 采用環境變量存儲密鑰信息
• 錯誤處理機制不會導致敏感信息泄露
• 強制使用 HTTPS 協議進行數據傳輸
• 日志記錄與監控系統已完成配置
• 數據庫查詢采用參數化語句
• 文件上傳限制已完成設置
• 跨域資源共享（CORS）已完成正確配置

結論

適用于生產環境的 Node.js 安全系統需要構建多層次的保護體系，涵蓋依賴項審計、輸入驗證、身份驗證、錯誤處理以及安全配置等方面。遵循這些最佳實踐，有助于企業將安全漏洞降至最低，同時確保應用程序具備長期的穩定性和彈性。

譯者介紹

劉濤，51CTO社區編輯，某大型央企系統上線檢測管控負責人。

原文標題：Hardening Node.js Apps in Production: 8 Layers of Practical Security，作者：Raju Dandigam