নিরাপত্তা একটি গুরুত্বপূর্ণ দিক যখন আপনি একটি ওয়েব অ্যাপ্লিকেশন বা API তৈরি করেন, বিশেষ করে যখন অ্যাপ্লিকেশনটি ইন্টারনেটে এক্সপোজড থাকে। ExpressJS অ্যাপ্লিকেশনে বিভিন্ন নিরাপত্তা ব্যবস্থা গ্রহণ করলে অ্যাপ্লিকেশনটিকে বিভিন্ন ধরনের আক্রমণ (যেমন XSS, CSRF, SQL Injection, ইত্যাদি) থেকে রক্ষা করা সম্ভব হয়। এখানে কিছু গুরুত্বপূর্ণ নিরাপত্তা ব্যবস্থা আলোচনা করা হলো যা ExpressJS অ্যাপ্লিকেশনে ব্যবহার করা যেতে পারে।
১. HTTPS ব্যবহার
HTTPS (HyperText Transfer Protocol Secure) হল একটি নিরাপদ যোগাযোগ প্রটোকল যা ওয়েবসাইটের সাথে ইউজারের ডেটার আদান-প্রদান এনক্রিপ্ট করে। HTTP-কে HTTPS-এ রূপান্তরিত করার মাধ্যমে আপনার অ্যাপ্লিকেশনটি নিরাপদ এবং ইন্টারসেপ্ট করা থেকে রক্ষা পায়।
১.১. HTTPS কনফিগারেশন
ExpressJS-এ HTTPS কনফিগার করতে, আপনি একটি SSL সার্টিফিকেট ব্যবহার করতে পারেন। নিচে একটি উদাহরণ দেওয়া হলো:
const fs = require('fs');
const https = require('https');
const express = require('express');
const app = express();
// SSL সার্টিফিকেট ফাইল পাথ
const options = {
key: fs.readFileSync('path/to/private-key.pem'),
cert: fs.readFileSync('path/to/certificate.pem')
};
https.createServer(options, app).listen(3000, () => {
console.log('Secure server running on https://localhost:3000');
});
এই কনফিগারেশন আপনার ExpressJS অ্যাপ্লিকেশনকে HTTPS প্রোটোকলে চালাবে, যা ডেটা এনক্রিপ্ট করবে এবং অ্যাপ্লিকেশনকে সুরক্ষিত রাখবে।
২. Helmet Middleware ব্যবহার
Helmet একটি ExpressJS middleware যা HTTP হেডারগুলো সঠিকভাবে সেট করতে সাহায্য করে এবং অ্যাপ্লিকেশনকে বিভিন্ন ধরনের আক্রমণ থেকে রক্ষা করে। এটি কিছু অতিরিক্ত নিরাপত্তা ফিচার অন্তর্ভুক্ত করে, যেমন:
- Content Security Policy (CSP)
- X-Content-Type-Options
- Strict-Transport-Security (HSTS)
- X-Frame-Options
২.১. Helmet ইনস্টলেশন এবং ব্যবহার
npm install helmet
const helmet = require('helmet');
const express = require('express');
const app = express();
// Helmet middleware ব্যবহার
app.use(helmet());
app.get('/', (req, res) => {
res.send('Hello, secure world!');
});
app.listen(3000, () => {
console.log('Server running on http://localhost:3000');
});
Helmet middleware আপনার অ্যাপ্লিকেশনে HTTP হেডার নিরাপত্তা ব্যবস্থা সংযোজন করে, যা একাধিক নিরাপত্তা ফিচার চালু করে দেয়।
৩. Rate Limiting
Rate Limiting হল একটি সুরক্ষা ব্যবস্থা যা অস্বাভাবিক এবং ক্ষতিকর পরিমাণে রিকোয়েস্ট আসা প্রতিরোধ করে। এটি Denial of Service (DoS) আক্রমণ এবং ব্রুট-ফোর্স আক্রমণ থেকে অ্যাপ্লিকেশনকে সুরক্ষিত রাখতে সাহায্য করে।
৩.১. Express-rate-limit ইনস্টলেশন এবং ব্যবহার
npm install express-rate-limit
const rateLimit = require('express-rate-limit');
const express = require('express');
const app = express();
// Rate Limiter সেটআপ
const limiter = rateLimit({
windowMs: 15 * 60 * 1000, // 15 মিনিট
max: 100, // প্রতি 15 মিনিটে 100 রিকোয়েস্ট
message: 'Too many requests, please try again later.'
});
// Rate Limiter middleware ব্যবহার
app.use(limiter);
app.get('/', (req, res) => {
res.send('Rate Limiting Applied');
});
app.listen(3000, () => {
console.log('Server running on http://localhost:3000');
});
এখানে, express-rate-limit মডিউল ব্যবহার করে প্রতি ১৫ মিনিটে ১০০টির বেশি রিকোয়েস্ট আসলে একটি ত্রুটি মেসেজ দেওয়া হবে।
৪. CSRF (Cross-Site Request Forgery) প্রতিরোধ
CSRF একটি আক্রমণ যেখানে আক্রমণকারী ব্যবহারকারীর হয়ে ক্ষতিকর রিকোয়েস্ট পাঠায়। এটি প্রতিরোধ করার জন্য ExpressJS অ্যাপ্লিকেশনে csrf টোকেন ব্যবহার করা যেতে পারে।
৪.১. csurf Middleware ব্যবহার
npm install csurf
const csurf = require('csurf');
const express = require('express');
const app = express();
// CSRF Middleware ব্যবহার
const csrfProtection = csurf({ cookie: true });
app.use(express.urlencoded({ extended: true }));
app.use(csrfProtection);
app.get('/form', (req, res) => {
// CSRF টোকেন ফর্মে পাঠানো হচ্ছে
res.send(`<form action="/process" method="POST">
<input type="hidden" name="_csrf" value="${req.csrfToken()}">
<button type="submit">Submit</button>
</form>`);
});
app.post('/process', (req, res) => {
res.send('Form processed');
});
app.listen(3000, () => {
console.log('Server running on http://localhost:3000');
});
এখানে, csrf টোকেন ব্যবহার করা হচ্ছে যাতে প্রত্যেক ফর্ম সাবমিটের সাথে একটি টোকেন পাঠানো হয়, যা সার্ভার যাচাই করে।
৫. Input Validation এবং Sanitization
Input Validation এবং Sanitization হল নিরাপত্তার অপরিহার্য অংশ, যা ইনপুট ডেটাকে যাচাই ও পরিস্কার করে। এতে SQL Injection এবং XSS (Cross-Site Scripting) আক্রমণ থেকে রক্ষা পাওয়া যায়।
৫.১. Express-validator ব্যবহার
npm install express-validator
const { body, validationResult } = require('express-validator');
const express = require('express');
const app = express();
app.use(express.json());
app.post('/user', [
body('email').isEmail(),
body('username').not().isEmpty()
], (req, res) => {
const errors = validationResult(req);
if (!errors.isEmpty()) {
return res.status(400).json({ errors: errors.array() });
}
res.send('User data is valid');
});
app.listen(3000, () => {
console.log('Server running on http://localhost:3000');
});
এখানে, express-validator ব্যবহার করে ইনপুট ডেটা যাচাই করা হচ্ছে। যদি ইনপুট সঠিক না হয়, তবে ত্রুটির বার্তা ফেরত দেওয়া হবে।
৬. CORS (Cross-Origin Resource Sharing)
CORS একটি নিরাপত্তা ফিচার যা একটি ওয়েব পেজ থেকে অন্য একটি ডোমেইনে রিকোয়েস্ট পাঠানোর অনুমতি নিয়ন্ত্রণ করে। ExpressJS অ্যাপ্লিকেশনে CORS সঠিকভাবে কনফিগার করা প্রয়োজন, যাতে অপ্রত্যাশিত ডোমেইন থেকে রিকোয়েস্ট না আসে।
৬.১. CORS Middleware ব্যবহার
npm install cors
const cors = require('cors');
const express = require('express');
const app = express();
// CORS Middleware ব্যবহার
app.use(cors());
app.get('/', (req, res) => {
res.send('CORS enabled');
});
app.listen(3000, () => {
console.log('Server running on http://localhost:3000');
});
এখানে, cors প্যাকেজ ব্যবহার করে অ্যাপ্লিকেশনে CORS সক্রিয় করা হয়েছে, যা অন্যান্য ডোমেইন থেকে রিকোয়েস্টের অনুমতি দেয়।
৭. নিরাপদ পাসওয়ার্ড স্টোরেজ
পাসওয়ার্ড সুরক্ষিত রাখতে bcryptjs বা argon2 ইত্যাদি প্যাকেজ ব্যবহার করে পাসওয়ার্ড হ্যাশ করা উচিত। এটা সরাসরি পাসওয়ার্ড সংরক্ষণ করার থেকে অনেক নিরাপদ।
৭.১. bcryptjs ব্যবহার
npm install bcryptjs
const bcrypt = require('bcryptjs');
const express = require('express');
const app = express();
const password = 'mySecretPassword';
// পাসওয়ার্ড হ্যাশ করা
bcrypt.hash(password, 10, (err, hash) => {
if (err) throw err;
console.log('Hashed password:', hash);
});
app.listen(3000, () => {
console.log('Server running on http://localhost:3000');
});
এখানে, bcryptjs ব্যবহার করে পাসওয়ার্ডটি হ্যাশ করা হচ্ছে, যাতে এটি সরাসরি ডাটাবেসে স্টোর না হয়।
সারাংশ
ExpressJS অ্যাপ্লিকেশনকে সুরক্ষিত রাখতে কিছু গুরুত্বপূর্ণ নিরাপত্তা ব্যবস্থা রয়েছে, যেমন HTTPS ব্যবহার, Helmet middleware, Rate Limiting, CSRF প্রতিরোধ, Input Validation এবং Sanitization। এছাড়া, নিরাপদ
পাসওয়ার্ড স্টোরেজ এবং CORS কনফিগারেশনও অপরিহার্য। এসব নিরাপত্তা ব্যবস্থা ব্যবহার করলে আপনার অ্যাপ্লিকেশনটি অনেক বেশি সুরক্ষিত হয়ে উঠবে।
Read more
