Helmet.js হল একটি নিরাপত্তা মডিউল যা ExpressJS অ্যাপ্লিকেশনগুলির জন্য HTTP হেডার সুরক্ষা সরবরাহ করে। এটি বিভিন্ন ধরনের নিরাপত্তা সমস্যা থেকে অ্যাপ্লিকেশনকে রক্ষা করার জন্য অনেকগুলো HTTP হেডার সন্নিবেশিত করে। Helmet.js ব্যবহারের মাধ্যমে আপনি সহজেই আপনার অ্যাপ্লিকেশনকে বিভিন্ন ধরনের আক্রমণ, যেমন XSS (Cross-Site Scripting), clickjacking, এবং content sniffing থেকে রক্ষা করতে পারবেন।
১. Helmet.js কী?
Helmet.js হল একটি ExpressJS মডিউল যা সিকিউরিটি-সম্পর্কিত HTTP হেডারগুলিকে কনফিগার এবং প্রয়োগ করে, যাতে আপনার ওয়েব অ্যাপ্লিকেশনটি অতিরিক্ত সুরক্ষা পায়। এটি ক্লায়েন্ট-ব্রাউজারে সুরক্ষিত কনফিগারেশন সরবরাহ করার মাধ্যমে আপনার অ্যাপ্লিকেশনকে সাধারণ আক্রমণের বিরুদ্ধে রক্ষা করতে সাহায্য করে।
১.১. Helmet.js এর মাধ্যমে প্রযোজ্য সিকিউরিটি হেডারগুলি:
- Content Security Policy (CSP): Cross-site scripting (XSS) আক্রমণ থেকে রক্ষা করে।
- X-Content-Type-Options: MIME type sniffing আক্রমণ থেকে রক্ষা করে।
- X-DNS-Prefetch-Control: DNS prefetching রক্ষা করে।
- Strict-Transport-Security (HSTS): HTTP থেকে HTTPS এ রিডাইরেক্ট করে।
- X-Frame-Options: Clickjacking আক্রমণ থেকে রক্ষা করে।
- X-Powered-By: অ্যাপ্লিকেশনটি কি প্ল্যাটফর্মে রান করছে তা সরিয়ে ফেলে, যাতে আক্রমণকারী প্ল্যাটফর্মের দুর্বলতা ব্যবহার করতে না পারে।
- Referrer-Policy: রেফারার তথ্য শেয়ারিং রোধ করে।
২. Helmet.js ইনস্টলেশন
Helmet.js ব্যবহার করার জন্য প্রথমে আপনাকে এটি ইনস্টল করতে হবে:
npm install helmet
৩. ExpressJS অ্যাপ্লিকেশনে Helmet.js কনফিগারেশন
একবার Helmet.js ইনস্টল করা হলে, আপনি এটি আপনার ExpressJS অ্যাপে সহজেই ইমপোর্ট করে ব্যবহার করতে পারেন।
৩.১. Helmet.js এর মৌলিক ব্যবহার
const express = require('express');
const helmet = require('helmet');
const app = express();
// Helmet ব্যবহার শুরু
app.use(helmet());
// একটি সাধারণ রাউট
app.get('/', (req, res) => {
res.send('Hello, world!');
});
const port = 3000;
app.listen(port, () => {
console.log(`Server is running at http://localhost:${port}`);
});
এখানে, app.use(helmet()); লাইনের মাধ্যমে আপনি সমস্ত ডিফল্ট নিরাপত্তা হেডারগুলি অ্যাপ্লিকেশনে যুক্ত করে দিয়েছেন। এটি অ্যাপ্লিকেশনটি সুরক্ষিত করতে সাহায্য করবে।
৪. Helmet.js এর কনফিগারেশন কাস্টমাইজ করা
আপনি যদি কিছু নির্দিষ্ট হেডারের জন্য কাস্টম কনফিগারেশন করতে চান, তবে তা Helmet.js এর মাধ্যমে করা সম্ভব। নিচে কিছু সাধারণ কাস্টম কনফিগারেশনের উদাহরণ দেওয়া হলো:
৪.১. Content Security Policy (CSP) কনফিগারেশন
app.use(helmet.contentSecurityPolicy({
directives: {
defaultSrc: ["'self'"], // শুধুমাত্র নিজের ডোমেইন থেকে কন্টেন্ট লোড করতে পারবে
scriptSrc: ["'self'", "https://trusted-cdn.com"], // নির্দিষ্ট স্ক্রিপ্ট সোর্স অনুমোদন
styleSrc: ["'self'", "'unsafe-inline'"], // CSS অনুমোদন
}
}));
৪.২. X-Frame-Options কনফিগারেশন
app.use(helmet.frameguard({ action: 'deny' })); // Clickjacking রোধ করতে ফ্রেমে লোড করতে দিবে না
৪.৩. Strict Transport Security (HSTS) কনফিগারেশন
app.use(helmet.hsts({
maxAge: 31536000, // 1 বছর
includeSubDomains: true, // সব সাবডোমেইনগুলির জন্য HSTS প্রয়োগ করা হবে
preload: true, // Preload লিস্টে যোগ করা হবে
}));
৪.৪. X-XSS-Protection কনফিগারেশন
app.use(helmet.xssFilter()); // XSS আক্রমণ প্রতিরোধ করতে এক্সএসএস ফিল্টার সক্রিয় করা
৪.৫. X-Powered-By হেডার নিষ্ক্রিয় করা
app.disable('x-powered-by'); // X-Powered-By হেডার নিষ্ক্রিয় করা
৪.৬. Referrer-Policy কনফিগারেশন
app.use(helmet.referrerPolicy({ policy: 'no-referrer' })); // রেফারার তথ্য শেয়ারিং বন্ধ করা
৫. Helmet.js এর সাথে অন্য নিরাপত্তা পরামর্শ
Helmet.js ব্যবহার করার পাশাপাশি আরও কিছু নিরাপত্তা ব্যবস্থা নিতে হবে:
- HTTPS ব্যবহার করা: আপনার সার্ভারে HTTPS সক্রিয় করা অত্যন্ত গুরুত্বপূর্ণ, যাতে ডেটা এনক্রিপ্টেড হয়ে যাক।
- CORS (Cross-Origin Resource Sharing) কনফিগারেশন: CORS পলিসি ব্যবহার করে শুধুমাত্র নির্দিষ্ট ডোমেইনগুলিকে API এক্সেস দিতে পারেন।
- Data Validation: ইউজার ইনপুট অবশ্যই সঠিকভাবে ভ্যালিডেট করতে হবে। এটি XSS এবং SQL Injection আক্রমণ থেকে রক্ষা করবে।
- Rate Limiting: এক্সেস রেট লিমিট করে API এর অস্বাভাবিক ব্যবহার রোধ করুন।
সারাংশ
Helmet.js একটি কার্যকরী নিরাপত্তা টুল যা আপনার ExpressJS অ্যাপ্লিকেশনটিকে বিভিন্ন ধরনের আক্রমণ থেকে রক্ষা করতে সাহায্য করে। এটি HTTP হেডারের মাধ্যমে সুরক্ষা বাড়ায় এবং বিভিন্ন নিরাপত্তা ফিচার যেমন CSP, X-Frame-Options, HSTS, XSS Filtering ইত্যাদি প্রয়োগ করে। আপনার অ্যাপ্লিকেশনে Helmet.js ব্যবহার করা সহজ এবং এটি আপনার অ্যাপ্লিকেশনকে আরো সুরক্ষিত করতে সহায়তা করে।
Read more
