ExpressJS একটি জনপ্রিয় এবং সহজে ব্যবহৃত ওয়েব ফ্রেমওয়ার্ক, কিন্তু এটি ব্যবহার করার সময় নিরাপত্তা বিষয়ে সচেতন থাকা অত্যন্ত গুরুত্বপূর্ণ। অ্যাপ্লিকেশনটির সুরক্ষা নিশ্চিত করতে কিছু নির্দিষ্ট নিরাপত্তা পদ্ধতি অনুসরণ করা উচিত, যা আপনার ExpressJS অ্যাপ্লিকেশনকে সুরক্ষিত রাখবে। এখানে আমরা কিছু গুরুত্বপূর্ণ Security Best Practices নিয়ে আলোচনা করব, যা ExpressJS অ্যাপ্লিকেশন তৈরি করার সময় অনুসরণ করা উচিত।
১. HTTPS ব্যবহার করা
HTTP এর পরিবর্তে HTTPS ব্যবহার করা উচিত। HTTPS (Hypertext Transfer Protocol Secure) একটি নিরাপদ যোগাযোগ প্রোটোকল, যা ডেটা এনক্রিপ্ট করে এবং ইন্টারনেটের মাধ্যমে সুরক্ষিতভাবে প্রেরণ করে। এটি ব্যবহারকারীর তথ্য চুরি বা হ্যাকিং থেকে রক্ষা করে।
১.১. HTTPS কনফিগার করা
আপনার অ্যাপ্লিকেশনকে HTTPS সাপোর্ট করতে SSL সার্টিফিকেট এবং সঠিক কনফিগারেশন দরকার।
const express = require('express');
const https = require('https');
const fs = require('fs');
const app = express();
// SSL সার্টিফিকেট এবং প্রাইভেট কী
const options = {
key: fs.readFileSync('path/to/your/private-key.pem'),
cert: fs.readFileSync('path/to/your/certificate.pem')
};
app.get('/', (req, res) => {
res.send('Hello, HTTPS!');
});
// HTTPS সার্ভার শুরু করা
https.createServer(options, app).listen(3000, () => {
console.log('Secure server running at https://localhost:3000');
});
এখানে, SSL certificate এবং private key ব্যবহার করে HTTPS কনফিগার করা হয়েছে।
২. Helmet ব্যবহার করা
Helmet একটি middleware যা ExpressJS অ্যাপ্লিকেশনের সিকিউরিটি আরও বাড়াতে সাহায্য করে। এটি বিভিন্ন HTTP headers ব্যবহার করে অ্যাপ্লিকেশনের নিরাপত্তা উন্নত করে, যেমন: Content Security Policy (CSP), X-Frame-Options, X-XSS-Protection ইত্যাদি।
২.১. Helmet ইনস্টল করা
npm install helmet
২.২. Helmet কনফিগার করা
const express = require('express');
const helmet = require('helmet');
const app = express();
// Helmet Middleware যোগ করা
app.use(helmet());
app.get('/', (req, res) => {
res.send('Hello, Secure World!');
});
app.listen(3000, () => {
console.log('Server running at http://localhost:3000');
});
Helmet স্বয়ংক্রিয়ভাবে সুরক্ষিত HTTP headers যুক্ত করবে, যা অ্যাপ্লিকেশনকে বিভিন্ন ধরনের আক্রমণ থেকে রক্ষা করবে।
৩. Data Validation এবং Sanitization
ExpressJS অ্যাপ্লিকেশনগুলোর মধ্যে ইনপুট ভ্যালিডেশন এবং স্যানিটাইজেশন অত্যন্ত গুরুত্বপূর্ণ। এটি নিশ্চিত করে যে অ্যাপ্লিকেশনটি নিরাপদ এবং কোনো malicous ডাটা যেমন SQL ইনজেকশন, Cross-site Scripting (XSS) আক্রমণ গ্রহণ করবে না।
৩.১. Joi বা express-validator ব্যবহার করা
এখানে আমরা express-validator লাইব্রেরি ব্যবহার করব:
npm install express-validator
৩.২. ইনপুট ভ্যালিডেশন উদাহরণ
const express = require('express');
const { body, validationResult } = require('express-validator');
const app = express();
app.use(express.json());
app.post('/signup', [
body('email').isEmail(),
body('password').isLength({ min: 6 })
], (req, res) => {
const errors = validationResult(req);
if (!errors.isEmpty()) {
return res.status(400).json({ errors: errors.array() });
}
res.send('User signed up');
});
app.listen(3000, () => {
console.log('Server running at http://localhost:3000');
});
এখানে:
- email এবং password এর ইনপুট ভ্যালিডেশন করা হচ্ছে।
৪. CORS (Cross-Origin Resource Sharing) সঠিকভাবে কনফিগার করা
CORS একটি নিরাপত্তা বৈশিষ্ট্য, যা অন্য ডোমেন থেকে আপনার অ্যাপ্লিকেশন অ্যাক্সেস করার অনুমতি দেয়। একে সঠিকভাবে কনফিগার না করলে আপনার অ্যাপ্লিকেশনটি অপ্রত্যাশিত রিকোয়েস্টের শিকার হতে পারে।
৪.১. CORS কনফিগার করা
npm install cors
const express = require('express');
const cors = require('cors');
const app = express();
// CORS কনফিগার করা
const corsOptions = {
origin: 'https://trusted-domain.com',
methods: ['GET', 'POST'],
allowedHeaders: ['Content-Type']
};
app.use(cors(corsOptions));
app.get('/', (req, res) => {
res.send('CORS is configured properly');
});
app.listen(3000, () => {
console.log('Server running at http://localhost:3000');
});
এখানে CORS শুধুমাত্র নির্দিষ্ট ডোমেইন এবং HTTP মেথড অনুমোদন করবে।
৫. Rate Limiting
Rate limiting ব্যবহার করে আপনি API কলের সংখ্যা সীমাবদ্ধ করতে পারেন, যাতে ব্রুট ফোর্স আক্রমণ বা DDoS আক্রমণ প্রতিরোধ করা যায়।
৫.১. Rate Limiting ইনস্টল করা
npm install express-rate-limit
৫.২. Rate Limiting কনফিগার করা
const express = require('express');
const rateLimit = require('express-rate-limit');
const app = express();
// Rate Limiter কনফিগার করা
const limiter = rateLimit({
windowMs: 15 * 60 * 1000, // 15 মিনিট
max: 100, // প্রতি 15 মিনিটে 100টি রিকোয়েস্ট
message: 'Too many requests, please try again later.'
});
app.use(limiter);
app.get('/', (req, res) => {
res.send('Rate limiting is enabled');
});
app.listen(3000, () => {
console.log('Server running at http://localhost:3000');
});
এখানে, প্রতি 15 মিনিটে 100টি রিকোয়েস্টের পর অতিরিক্ত রিকোয়েস্ট ব্লক হয়ে যাবে।
৬. Session Management এবং Cookie সিকিউরিটি
Session এবং Cookie এর সিকিউরিটি নিশ্চিত করা দরকার, বিশেষত যখন ব্যবহারকারী লগ ইন বা সাইন আপ করে।
৬.১. Secure Cookie ব্যবহার করা
const express = require('express');
const cookieParser = require('cookie-parser');
const app = express();
// Cookie-parser Middleware
app.use(cookieParser());
app.get('/set-cookie', (req, res) => {
res.cookie('user', 'JohnDoe', { httpOnly: true, secure: true });
res.send('Cookie set');
});
app.listen(3000, () => {
console.log('Server running at http://localhost:3000');
});
এখানে:
- httpOnly: JavaScript থেকে cookie অ্যাক্সেস বন্ধ করে দেয়।
- secure: কুকি শুধুমাত্র HTTPS কনেকশনে সেট হয়।
৭. Dependency Management এবং Updates
প্রজেক্টের সমস্ত ডিপেনডেন্সি আপডেট রাখা অত্যন্ত গুরুত্বপূর্ণ, কারণ পুরনো বা নিরাপত্তাহীন লাইব্রেরি অ্যাপ্লিকেশনকে ঝুঁকিপূর্ণ করে তুলতে পারে।
৭.১. NPM এর মাধ্যমে ডিপেনডেন্সি আপডেট করা
npm audit fix
এটি আপনার অ্যাপ্লিকেশনে ইনস্টল করা যে কোনো নিরাপত্তা ঝুঁকি বা ভুল সংস্করণগুলো আপডেট করতে সাহায্য করবে।
সারাংশ
ExpressJS অ্যাপ্লিকেশন তৈরি করার সময় নিরাপত্তা একটি গুরুত্বপূর্ণ বিষয়। HTTPS, Helmet, Data Validation, CORS, Rate Limiting, এবং Secure Cookie ব্যবহার করা আপনার অ্যাপ্লিকেশনকে সুরক্ষিত রাখতে সাহায্য করবে। এছাড়া, ডিপেনডেন্সি আপডেট রাখা এবং সঠিক session management অনুসরণ করা জরুরি। এই সব security best practices আপনার অ্যাপ্লিকেশনকে সুরক্ষিত রাখতে সহায়তা করবে এবং বিভিন্ন ধরনের আক্রমণ থেকে রক্ষা করবে।
নিরাপত্তা একটি গুরুত্বপূর্ণ দিক যখন আপনি একটি ওয়েব অ্যাপ্লিকেশন বা API তৈরি করেন, বিশেষ করে যখন অ্যাপ্লিকেশনটি ইন্টারনেটে এক্সপোজড থাকে। ExpressJS অ্যাপ্লিকেশনে বিভিন্ন নিরাপত্তা ব্যবস্থা গ্রহণ করলে অ্যাপ্লিকেশনটিকে বিভিন্ন ধরনের আক্রমণ (যেমন XSS, CSRF, SQL Injection, ইত্যাদি) থেকে রক্ষা করা সম্ভব হয়। এখানে কিছু গুরুত্বপূর্ণ নিরাপত্তা ব্যবস্থা আলোচনা করা হলো যা ExpressJS অ্যাপ্লিকেশনে ব্যবহার করা যেতে পারে।
১. HTTPS ব্যবহার
HTTPS (HyperText Transfer Protocol Secure) হল একটি নিরাপদ যোগাযোগ প্রটোকল যা ওয়েবসাইটের সাথে ইউজারের ডেটার আদান-প্রদান এনক্রিপ্ট করে। HTTP-কে HTTPS-এ রূপান্তরিত করার মাধ্যমে আপনার অ্যাপ্লিকেশনটি নিরাপদ এবং ইন্টারসেপ্ট করা থেকে রক্ষা পায়।
১.১. HTTPS কনফিগারেশন
ExpressJS-এ HTTPS কনফিগার করতে, আপনি একটি SSL সার্টিফিকেট ব্যবহার করতে পারেন। নিচে একটি উদাহরণ দেওয়া হলো:
const fs = require('fs');
const https = require('https');
const express = require('express');
const app = express();
// SSL সার্টিফিকেট ফাইল পাথ
const options = {
key: fs.readFileSync('path/to/private-key.pem'),
cert: fs.readFileSync('path/to/certificate.pem')
};
https.createServer(options, app).listen(3000, () => {
console.log('Secure server running on https://localhost:3000');
});
এই কনফিগারেশন আপনার ExpressJS অ্যাপ্লিকেশনকে HTTPS প্রোটোকলে চালাবে, যা ডেটা এনক্রিপ্ট করবে এবং অ্যাপ্লিকেশনকে সুরক্ষিত রাখবে।
২. Helmet Middleware ব্যবহার
Helmet একটি ExpressJS middleware যা HTTP হেডারগুলো সঠিকভাবে সেট করতে সাহায্য করে এবং অ্যাপ্লিকেশনকে বিভিন্ন ধরনের আক্রমণ থেকে রক্ষা করে। এটি কিছু অতিরিক্ত নিরাপত্তা ফিচার অন্তর্ভুক্ত করে, যেমন:
- Content Security Policy (CSP)
- X-Content-Type-Options
- Strict-Transport-Security (HSTS)
- X-Frame-Options
২.১. Helmet ইনস্টলেশন এবং ব্যবহার
npm install helmet
const helmet = require('helmet');
const express = require('express');
const app = express();
// Helmet middleware ব্যবহার
app.use(helmet());
app.get('/', (req, res) => {
res.send('Hello, secure world!');
});
app.listen(3000, () => {
console.log('Server running on http://localhost:3000');
});
Helmet middleware আপনার অ্যাপ্লিকেশনে HTTP হেডার নিরাপত্তা ব্যবস্থা সংযোজন করে, যা একাধিক নিরাপত্তা ফিচার চালু করে দেয়।
৩. Rate Limiting
Rate Limiting হল একটি সুরক্ষা ব্যবস্থা যা অস্বাভাবিক এবং ক্ষতিকর পরিমাণে রিকোয়েস্ট আসা প্রতিরোধ করে। এটি Denial of Service (DoS) আক্রমণ এবং ব্রুট-ফোর্স আক্রমণ থেকে অ্যাপ্লিকেশনকে সুরক্ষিত রাখতে সাহায্য করে।
৩.১. Express-rate-limit ইনস্টলেশন এবং ব্যবহার
npm install express-rate-limit
const rateLimit = require('express-rate-limit');
const express = require('express');
const app = express();
// Rate Limiter সেটআপ
const limiter = rateLimit({
windowMs: 15 * 60 * 1000, // 15 মিনিট
max: 100, // প্রতি 15 মিনিটে 100 রিকোয়েস্ট
message: 'Too many requests, please try again later.'
});
// Rate Limiter middleware ব্যবহার
app.use(limiter);
app.get('/', (req, res) => {
res.send('Rate Limiting Applied');
});
app.listen(3000, () => {
console.log('Server running on http://localhost:3000');
});
এখানে, express-rate-limit মডিউল ব্যবহার করে প্রতি ১৫ মিনিটে ১০০টির বেশি রিকোয়েস্ট আসলে একটি ত্রুটি মেসেজ দেওয়া হবে।
৪. CSRF (Cross-Site Request Forgery) প্রতিরোধ
CSRF একটি আক্রমণ যেখানে আক্রমণকারী ব্যবহারকারীর হয়ে ক্ষতিকর রিকোয়েস্ট পাঠায়। এটি প্রতিরোধ করার জন্য ExpressJS অ্যাপ্লিকেশনে csrf টোকেন ব্যবহার করা যেতে পারে।
৪.১. csurf Middleware ব্যবহার
npm install csurf
const csurf = require('csurf');
const express = require('express');
const app = express();
// CSRF Middleware ব্যবহার
const csrfProtection = csurf({ cookie: true });
app.use(express.urlencoded({ extended: true }));
app.use(csrfProtection);
app.get('/form', (req, res) => {
// CSRF টোকেন ফর্মে পাঠানো হচ্ছে
res.send(`<form action="/process" method="POST">
<input type="hidden" name="_csrf" value="${req.csrfToken()}">
<button type="submit">Submit</button>
</form>`);
});
app.post('/process', (req, res) => {
res.send('Form processed');
});
app.listen(3000, () => {
console.log('Server running on http://localhost:3000');
});
এখানে, csrf টোকেন ব্যবহার করা হচ্ছে যাতে প্রত্যেক ফর্ম সাবমিটের সাথে একটি টোকেন পাঠানো হয়, যা সার্ভার যাচাই করে।
৫. Input Validation এবং Sanitization
Input Validation এবং Sanitization হল নিরাপত্তার অপরিহার্য অংশ, যা ইনপুট ডেটাকে যাচাই ও পরিস্কার করে। এতে SQL Injection এবং XSS (Cross-Site Scripting) আক্রমণ থেকে রক্ষা পাওয়া যায়।
৫.১. Express-validator ব্যবহার
npm install express-validator
const { body, validationResult } = require('express-validator');
const express = require('express');
const app = express();
app.use(express.json());
app.post('/user', [
body('email').isEmail(),
body('username').not().isEmpty()
], (req, res) => {
const errors = validationResult(req);
if (!errors.isEmpty()) {
return res.status(400).json({ errors: errors.array() });
}
res.send('User data is valid');
});
app.listen(3000, () => {
console.log('Server running on http://localhost:3000');
});
এখানে, express-validator ব্যবহার করে ইনপুট ডেটা যাচাই করা হচ্ছে। যদি ইনপুট সঠিক না হয়, তবে ত্রুটির বার্তা ফেরত দেওয়া হবে।
৬. CORS (Cross-Origin Resource Sharing)
CORS একটি নিরাপত্তা ফিচার যা একটি ওয়েব পেজ থেকে অন্য একটি ডোমেইনে রিকোয়েস্ট পাঠানোর অনুমতি নিয়ন্ত্রণ করে। ExpressJS অ্যাপ্লিকেশনে CORS সঠিকভাবে কনফিগার করা প্রয়োজন, যাতে অপ্রত্যাশিত ডোমেইন থেকে রিকোয়েস্ট না আসে।
৬.১. CORS Middleware ব্যবহার
npm install cors
const cors = require('cors');
const express = require('express');
const app = express();
// CORS Middleware ব্যবহার
app.use(cors());
app.get('/', (req, res) => {
res.send('CORS enabled');
});
app.listen(3000, () => {
console.log('Server running on http://localhost:3000');
});
এখানে, cors প্যাকেজ ব্যবহার করে অ্যাপ্লিকেশনে CORS সক্রিয় করা হয়েছে, যা অন্যান্য ডোমেইন থেকে রিকোয়েস্টের অনুমতি দেয়।
৭. নিরাপদ পাসওয়ার্ড স্টোরেজ
পাসওয়ার্ড সুরক্ষিত রাখতে bcryptjs বা argon2 ইত্যাদি প্যাকেজ ব্যবহার করে পাসওয়ার্ড হ্যাশ করা উচিত। এটা সরাসরি পাসওয়ার্ড সংরক্ষণ করার থেকে অনেক নিরাপদ।
৭.১. bcryptjs ব্যবহার
npm install bcryptjs
const bcrypt = require('bcryptjs');
const express = require('express');
const app = express();
const password = 'mySecretPassword';
// পাসওয়ার্ড হ্যাশ করা
bcrypt.hash(password, 10, (err, hash) => {
if (err) throw err;
console.log('Hashed password:', hash);
});
app.listen(3000, () => {
console.log('Server running on http://localhost:3000');
});
এখানে, bcryptjs ব্যবহার করে পাসওয়ার্ডটি হ্যাশ করা হচ্ছে, যাতে এটি সরাসরি ডাটাবেসে স্টোর না হয়।
সারাংশ
ExpressJS অ্যাপ্লিকেশনকে সুরক্ষিত রাখতে কিছু গুরুত্বপূর্ণ নিরাপত্তা ব্যবস্থা রয়েছে, যেমন HTTPS ব্যবহার, Helmet middleware, Rate Limiting, CSRF প্রতিরোধ, Input Validation এবং Sanitization। এছাড়া, নিরাপদ
পাসওয়ার্ড স্টোরেজ এবং CORS কনফিগারেশনও অপরিহার্য। এসব নিরাপত্তা ব্যবস্থা ব্যবহার করলে আপনার অ্যাপ্লিকেশনটি অনেক বেশি সুরক্ষিত হয়ে উঠবে।
ExpressJS অ্যাপ্লিকেশনে সিকিউরিটি নিশ্চিত করা অত্যন্ত গুরুত্বপূর্ণ। বিভিন্ন ধরনের আক্রমণ যেমন CSRF (Cross-Site Request Forgery), XSS (Cross-Site Scripting), এবং SQL Injection অ্যাপ্লিকেশন এবং ডেটাবেসকে ঝুঁকির মধ্যে ফেলতে পারে। এখানে আমরা আলোচনা করব কীভাবে ExpressJS অ্যাপ্লিকেশনে এই আক্রমণগুলো প্রতিরোধ করা যায়।
১. CSRF (Cross-Site Request Forgery) প্রতিরোধ
CSRF একটি ধরনের আক্রমণ যেখানে আক্রমণকারী ব্যবহারকারীকে জোরপূর্বক অপ্রত্যাশিত HTTP রিকোয়েস্ট পাঠাতে বাধ্য করে। এই রিকোয়েস্টগুলো বৈধ ব্যবহারকারীর সেশন এবং অনুমতি নিয়ে আসে, যা অ্যাপ্লিকেশনে নিরাপত্তা ঝুঁকি তৈরি করে।
১.১. CSRF প্রতিরোধে Token ব্যবহার
CSRF আক্রমণ প্রতিরোধে CSRF Token ব্যবহার করা হয়। এটি একটি নিরাপদ টোকেন যেটি প্রতিটি ফর্ম সাবমিশন বা AJAX রিকোয়েস্টের সাথে পাঠানো হয়। ব্যবহারকারী যখন সাইটে প্রবেশ করে, তখন একটি বিশেষ টোকেন তৈরি হয় এবং সেখান থেকে সমস্ত রিকোয়েস্টে ওই টোকেনটি চেক করা হয়।
csurf প্যাকেজ ExpressJS অ্যাপ্লিকেশনে CSRF টোকেন ব্যবহারের জন্য একটি জনপ্রিয় প্যাকেজ।
১.২. csurf প্যাকেজ ইনস্টলেশন
npm install csurf
১.৩. CSRF প্রতিরোধে কোড উদাহরণ
const express = require('express');
const csrf = require('csurf');
const cookieParser = require('cookie-parser');
const app = express();
const csrfProtection = csrf({ cookie: true });
app.use(cookieParser());
// ফর্ম পেজের জন্য CSRF Token প্রদান করা
app.get('/form', csrfProtection, (req, res) => {
res.send(`
<form action="/submit" method="POST">
<input type="hidden" name="_csrf" value="${req.csrfToken()}">
<button type="submit">Submit</button>
</form>
`);
});
// POST রিকোয়েস্টের জন্য CSRF Token যাচাই করা
app.post('/submit', csrfProtection, (req, res) => {
res.send('Form submitted successfully');
});
app.listen(3000, () => {
console.log('Server started on port 3000');
});
এখানে, csrfProtection middleware দিয়ে CSRF টোকেন যাচাই করা হয় এবং এটি ব্যবহারকারীর ফর্ম সাবমিশন সুরক্ষিত রাখে।
২. XSS (Cross-Site Scripting) প্রতিরোধ
XSS আক্রমণ হচ্ছে যখন আক্রমণকারী ব্যবহারকারীর ব্রাউজারে স্ক্রিপ্ট ইনজেক্ট করে, যার মাধ্যমে ব্যবহারকারীর ব্যক্তিগত তথ্য চুরি করা বা সেশন হাইজ্যাকিং হতে পারে।
২.১. XSS প্রতিরোধে Input Sanitization
XSS আক্রমণ প্রতিরোধে input sanitization অত্যন্ত গুরুত্বপূর্ণ। ব্যবহারকারীর ইনপুট থেকে HTML বা JavaScript কোড নিষিদ্ধ করার জন্য ইনপুটগুলি স্যানিটাইজ করতে হয়।
xss-clean প্যাকেজ ব্যবহার করে আপনি ইনপুট স্যানিটাইজ করতে পারেন।
২.২. xss-clean প্যাকেজ ইনস্টলেশন
npm install xss-clean
২.৩. XSS প্রতিরোধে কোড উদাহরণ
const express = require('express');
const xssClean = require('xss-clean');
const app = express();
// Request body স্যানিটাইজ করা
app.use(express.json());
app.use(xssClean());
// একটি সিম্পল POST রাউট
app.post('/comment', (req, res) => {
const userComment = req.body.comment;
res.send(`Received comment: ${userComment}`);
});
app.listen(3000, () => {
console.log('Server started on port 3000');
});
এখানে, xss-clean middleware ব্যবহার করে আমরা সমস্ত ইনপুট থেকে স্ক্রিপ্ট কোড ফিল্টার করে ফেলি।
২.৪. HTML-এ Escaping
একটি নিরাপদ প্র্যাকটিস হল HTML রেন্ডার করার সময় escaping ব্যবহার করা। এতে, ব্যবহারকারীর ইনপুটকে HTML হিসেবে রেন্ডার করার আগে নিরাপদভাবে escaping করা হয়।
const escapeHtml = require('escape-html');
// ব্যবহৃত ইনপুটকে HTML এ escaping করা
const safeString = escapeHtml('<script>alert("XSS")</script>');
এভাবে, HTML কোডে স্ক্রিপ্ট ইনজেক্ট হওয়া প্রতিরোধ করা যায়।
৩. SQL Injection প্রতিরোধ
SQL Injection আক্রমণ হল যখন আক্রমণকারী ডাটাবেসে অবৈধ SQL কোড ইনজেক্ট করে, যা ডাটাবেসের সিকিউরিটি ভেঙে ডেটা চুরি বা ক্ষতি করতে পারে।
৩.১. SQL Injection প্রতিরোধে Prepared Statements এবং ORM ব্যবহার
SQL Injection প্রতিরোধের জন্য Prepared Statements বা ORM (Object-Relational Mapping) ব্যবহার করা উচিত। এটি ব্যবহারকারীর ইনপুটের সাথে SQL কোড আলাদা করে রাখে, ফলে SQL কোডের সঙ্গে ইনপুট যুক্ত করা যায় না।
sequelize বা mongoose মতো ORM ফ্রেমওয়ার্ক ব্যবহার করে SQL Injection এর বিরুদ্ধে সুরক্ষা নিশ্চিত করা যায়।
৩.২. Prepared Statements ব্যবহার করা
const mysql = require('mysql2');
const connection = mysql.createConnection({ host: 'localhost', user: 'root', database: 'test' });
const userId = req.body.userId;
// Prepared statement ব্যবহার করে SQL কোডে ইনপুট যোগ করা
connection.execute('SELECT * FROM users WHERE id = ?', [userId], (err, results) => {
if (err) throw err;
res.json(results);
});
এখানে, ? প্লেসহোল্ডার ব্যবহার করে ডেটাবেস কুয়েরি লেখা হয়েছে, যা SQL Injection থেকে সুরক্ষিত।
৩.৩. ORM ব্যবহার করা (Sequelize)
Sequelize ORM ব্যবহার করে SQL Injection থেকে সুরক্ষা নিশ্চিত করা যায়:
const { User } = require('./models');
User.findOne({
where: {
id: req.body.userId
}
}).then(user => {
res.json(user);
});
এখানে, Sequelize ORM ডাটাবেস কুয়েরি তৈরি এবং নিরাপদভাবে ইনপুট প্রক্রিয়া পরিচালনা করে।
৪. সাধারণ সিকিউরিটি পরামর্শ
- HTTPS ব্যবহার করুন: HTTP এর পরিবর্তে HTTPS ব্যবহার করুন যাতে ডেটা এন্ড-টু-এন্ড এনক্রিপ্টেড থাকে এবং ম্যান-ইন-দ্য-মিডল (MITM) আক্রমণ থেকে সুরক্ষা নিশ্চিত হয়।
- Content Security Policy (CSP): XSS আক্রমণ প্রতিরোধে CSP ব্যবহার করুন, যা স্ক্রিপ্ট লোডিং সীমিত করে।
- HTTP Only Cookies: সেশন কুকি গুলোকে HTTP Only অ্যাট্রিবিউট ব্যবহার করে সুরক্ষিত রাখুন যাতে স্ক্রিপ্টের মাধ্যমে কুকি অ্যাক্সেস না করা যায়।
- Rate Limiting: একাধিক অপ্রত্যাশিত রিকোয়েস্ট থেকে সুরক্ষা নিশ্চিত করতে rate limiting ব্যবহার করুন, যেমন
express-rate-limitপ্যাকেজ।
সারাংশ
ExpressJS অ্যাপ্লিকেশনকে সুরক্ষিত রাখার জন্য CSRF, XSS, এবং SQL Injection এর বিরুদ্ধে সুরক্ষা নিশ্চিত করা অত্যন্ত গুরুত্বপূর্ণ। CSRF প্রতিরোধে CSRF টোকেন ব্যবহার, XSS প্রতিরোধে ইনপুট স্যানিটাইজেশন এবং SQL Injection প্রতিরোধে Prepared Statements এবং ORM ব্যবহার করা উচিত। এই পদ্ধতিগুলোর মাধ্যমে আপনার অ্যাপ্লিকেশনকে বিভিন্ন ধরনের সিকিউরিটি ঝুঁকি থেকে রক্ষা করা সম্ভব।
Helmet.js হল একটি নিরাপত্তা মডিউল যা ExpressJS অ্যাপ্লিকেশনগুলির জন্য HTTP হেডার সুরক্ষা সরবরাহ করে। এটি বিভিন্ন ধরনের নিরাপত্তা সমস্যা থেকে অ্যাপ্লিকেশনকে রক্ষা করার জন্য অনেকগুলো HTTP হেডার সন্নিবেশিত করে। Helmet.js ব্যবহারের মাধ্যমে আপনি সহজেই আপনার অ্যাপ্লিকেশনকে বিভিন্ন ধরনের আক্রমণ, যেমন XSS (Cross-Site Scripting), clickjacking, এবং content sniffing থেকে রক্ষা করতে পারবেন।
১. Helmet.js কী?
Helmet.js হল একটি ExpressJS মডিউল যা সিকিউরিটি-সম্পর্কিত HTTP হেডারগুলিকে কনফিগার এবং প্রয়োগ করে, যাতে আপনার ওয়েব অ্যাপ্লিকেশনটি অতিরিক্ত সুরক্ষা পায়। এটি ক্লায়েন্ট-ব্রাউজারে সুরক্ষিত কনফিগারেশন সরবরাহ করার মাধ্যমে আপনার অ্যাপ্লিকেশনকে সাধারণ আক্রমণের বিরুদ্ধে রক্ষা করতে সাহায্য করে।
১.১. Helmet.js এর মাধ্যমে প্রযোজ্য সিকিউরিটি হেডারগুলি:
- Content Security Policy (CSP): Cross-site scripting (XSS) আক্রমণ থেকে রক্ষা করে।
- X-Content-Type-Options: MIME type sniffing আক্রমণ থেকে রক্ষা করে।
- X-DNS-Prefetch-Control: DNS prefetching রক্ষা করে।
- Strict-Transport-Security (HSTS): HTTP থেকে HTTPS এ রিডাইরেক্ট করে।
- X-Frame-Options: Clickjacking আক্রমণ থেকে রক্ষা করে।
- X-Powered-By: অ্যাপ্লিকেশনটি কি প্ল্যাটফর্মে রান করছে তা সরিয়ে ফেলে, যাতে আক্রমণকারী প্ল্যাটফর্মের দুর্বলতা ব্যবহার করতে না পারে।
- Referrer-Policy: রেফারার তথ্য শেয়ারিং রোধ করে।
২. Helmet.js ইনস্টলেশন
Helmet.js ব্যবহার করার জন্য প্রথমে আপনাকে এটি ইনস্টল করতে হবে:
npm install helmet
৩. ExpressJS অ্যাপ্লিকেশনে Helmet.js কনফিগারেশন
একবার Helmet.js ইনস্টল করা হলে, আপনি এটি আপনার ExpressJS অ্যাপে সহজেই ইমপোর্ট করে ব্যবহার করতে পারেন।
৩.১. Helmet.js এর মৌলিক ব্যবহার
const express = require('express');
const helmet = require('helmet');
const app = express();
// Helmet ব্যবহার শুরু
app.use(helmet());
// একটি সাধারণ রাউট
app.get('/', (req, res) => {
res.send('Hello, world!');
});
const port = 3000;
app.listen(port, () => {
console.log(`Server is running at http://localhost:${port}`);
});
এখানে, app.use(helmet()); লাইনের মাধ্যমে আপনি সমস্ত ডিফল্ট নিরাপত্তা হেডারগুলি অ্যাপ্লিকেশনে যুক্ত করে দিয়েছেন। এটি অ্যাপ্লিকেশনটি সুরক্ষিত করতে সাহায্য করবে।
৪. Helmet.js এর কনফিগারেশন কাস্টমাইজ করা
আপনি যদি কিছু নির্দিষ্ট হেডারের জন্য কাস্টম কনফিগারেশন করতে চান, তবে তা Helmet.js এর মাধ্যমে করা সম্ভব। নিচে কিছু সাধারণ কাস্টম কনফিগারেশনের উদাহরণ দেওয়া হলো:
৪.১. Content Security Policy (CSP) কনফিগারেশন
app.use(helmet.contentSecurityPolicy({
directives: {
defaultSrc: ["'self'"], // শুধুমাত্র নিজের ডোমেইন থেকে কন্টেন্ট লোড করতে পারবে
scriptSrc: ["'self'", "https://trusted-cdn.com"], // নির্দিষ্ট স্ক্রিপ্ট সোর্স অনুমোদন
styleSrc: ["'self'", "'unsafe-inline'"], // CSS অনুমোদন
}
}));
৪.২. X-Frame-Options কনফিগারেশন
app.use(helmet.frameguard({ action: 'deny' })); // Clickjacking রোধ করতে ফ্রেমে লোড করতে দিবে না
৪.৩. Strict Transport Security (HSTS) কনফিগারেশন
app.use(helmet.hsts({
maxAge: 31536000, // 1 বছর
includeSubDomains: true, // সব সাবডোমেইনগুলির জন্য HSTS প্রয়োগ করা হবে
preload: true, // Preload লিস্টে যোগ করা হবে
}));
৪.৪. X-XSS-Protection কনফিগারেশন
app.use(helmet.xssFilter()); // XSS আক্রমণ প্রতিরোধ করতে এক্সএসএস ফিল্টার সক্রিয় করা
৪.৫. X-Powered-By হেডার নিষ্ক্রিয় করা
app.disable('x-powered-by'); // X-Powered-By হেডার নিষ্ক্রিয় করা
৪.৬. Referrer-Policy কনফিগারেশন
app.use(helmet.referrerPolicy({ policy: 'no-referrer' })); // রেফারার তথ্য শেয়ারিং বন্ধ করা
৫. Helmet.js এর সাথে অন্য নিরাপত্তা পরামর্শ
Helmet.js ব্যবহার করার পাশাপাশি আরও কিছু নিরাপত্তা ব্যবস্থা নিতে হবে:
- HTTPS ব্যবহার করা: আপনার সার্ভারে HTTPS সক্রিয় করা অত্যন্ত গুরুত্বপূর্ণ, যাতে ডেটা এনক্রিপ্টেড হয়ে যাক।
- CORS (Cross-Origin Resource Sharing) কনফিগারেশন: CORS পলিসি ব্যবহার করে শুধুমাত্র নির্দিষ্ট ডোমেইনগুলিকে API এক্সেস দিতে পারেন।
- Data Validation: ইউজার ইনপুট অবশ্যই সঠিকভাবে ভ্যালিডেট করতে হবে। এটি XSS এবং SQL Injection আক্রমণ থেকে রক্ষা করবে।
- Rate Limiting: এক্সেস রেট লিমিট করে API এর অস্বাভাবিক ব্যবহার রোধ করুন।
সারাংশ
Helmet.js একটি কার্যকরী নিরাপত্তা টুল যা আপনার ExpressJS অ্যাপ্লিকেশনটিকে বিভিন্ন ধরনের আক্রমণ থেকে রক্ষা করতে সাহায্য করে। এটি HTTP হেডারের মাধ্যমে সুরক্ষা বাড়ায় এবং বিভিন্ন নিরাপত্তা ফিচার যেমন CSP, X-Frame-Options, HSTS, XSS Filtering ইত্যাদি প্রয়োগ করে। আপনার অ্যাপ্লিকেশনে Helmet.js ব্যবহার করা সহজ এবং এটি আপনার অ্যাপ্লিকেশনকে আরো সুরক্ষিত করতে সহায়তা করে।
ExpressJS অ্যাপ্লিকেশনগুলোর নিরাপত্তা নিশ্চিত করার জন্য Secure HTTP Headers এবং SSL/TLS কনফিগারেশন অত্যন্ত গুরুত্বপূর্ণ। এই দুটি পদক্ষেপ ওয়েব অ্যাপ্লিকেশনের নিরাপত্তা বাড়াতে সাহায্য করে এবং ডেটার সুরক্ষা নিশ্চিত করে। আসুন, এগুলি বিস্তারিতভাবে দেখি।
১. Secure HTTP Headers কি?
HTTP Headers হল HTTP রিকোয়েস্ট এবং রেসপন্সের অংশ, যা ওয়েব সার্ভারের সাথে ক্লায়েন্টের যোগাযোগের মধ্যে তথ্য আদান-প্রদান করতে সাহায্য করে। Secure HTTP Headers ব্যবহার করলে আপনি ব্রাউজারের সিকিউরিটি পলিসি শক্তিশালী করতে পারেন এবং আপনার অ্যাপ্লিকেশনকে বিভিন্ন নিরাপত্তা হুমকির বিরুদ্ধে সুরক্ষিত রাখতে পারেন। কিছু গুরুত্বপূর্ণ নিরাপদ HTTP header হলো:
- Strict-Transport-Security (HSTS): এই হেডারটি ব্রাউজারকে HTTPS ব্যবহার করতে বাধ্য করে। এটি সার্ভার থেকে সমস্ত রিকোয়েস্ট নিরাপদ চ্যানেলের মাধ্যমে পাঠানোর জন্য ব্রাউজারকে নির্দেশ দেয়।
- X-Content-Type-Options: এটি ব্রাউজারকে মাইম টাইপ (MIME type) সঠিকভাবে হ্যান্ডল করার নির্দেশ দেয়, যাতে ডাটার ভুল এক্সিকিউশন এড়ানো যায়।
- X-Frame-Options: এটি Cross-Site Scripting (XSS) আক্রমণ প্রতিরোধ করতে সাহায্য করে, বিশেষ করে যখন অন্য কোনো ওয়েবসাইট আপনার অ্যাপ্লিকেশনকে
iframeএ লোড করার চেষ্টা করে। - X-XSS-Protection: XSS আক্রমণ প্রতিরোধে সাহায্য করে।
- Content-Security-Policy (CSP): এই হেডারটি নির্দিষ্ট করে দেয় যে কোন স্ক্রিপ্ট এবং রিসোর্স অ্যাপ্লিকেশন থেকে লোড হতে পারে।
২. ExpressJS এ Secure HTTP Headers কনফিগার করা
ExpressJS অ্যাপ্লিকেশনে সিকিউর HTTP Headers কনফিগার করার জন্য আপনি সাধারণত helmet প্যাকেজ ব্যবহার করবেন। এটি বিভিন্ন সিকিউরিটি হেডার অ্যাড করার জন্য একটি মডিউল। প্রথমে helmet ইনস্টল করতে হবে:
২.১. Helmet ইনস্টল করা
npm install helmet
২.২. Express অ্যাপে Helmet ব্যবহার করা
const express = require('express');
const helmet = require('helmet');
const app = express();
// Helmet ব্যবহার করা
app.use(helmet());
// অন্যান্য রাউট এবং কনফিগারেশন
app.get('/', (req, res) => {
res.send('Hello World!');
});
app.listen(3000, () => {
console.log('Server running on http://localhost:3000');
});
এখানে:
app.use(helmet()): এই লাইনের মাধ্যমে helmet প্যাকেজে থাকা সমস্ত সিকিউরিটি হেডার আপনার অ্যাপ্লিকেশনে যোগ হয়ে যাবে।
২.৩. Helmet এর কিছু গুরুত্বপূর্ণ হেডার
Helmet এর মাধ্যমে আপনি নিচের সিকিউরিটি হেডারগুলি স্বয়ংক্রিয়ভাবে কনফিগার করতে পারেন:
- Strict-Transport-Security
- X-Content-Type-Options
- X-Frame-Options
- X-XSS-Protection
- Content-Security-Policy
আপনি যদি চাইলে প্রতিটি হেডার কাস্টমাইজও করতে পারেন। উদাহরণস্বরূপ:
app.use(helmet({
contentSecurityPolicy: {
directives: {
defaultSrc: ["'self'"],
scriptSrc: ["'self'", "'unsafe-inline'"],
objectSrc: ["'none'"],
}
}
}));
এখানে, Content-Security-Policy কাস্টম হেডার কনফিগার করা হয়েছে, যা একমাত্র 'self' ডোমেইন থেকে স্ক্রিপ্ট এবং অন্যান্য রিসোর্স লোড করার অনুমতি দেয়।
৩. SSL/TLS কনফিগারেশন কি?
SSL (Secure Sockets Layer) এবং TLS (Transport Layer Security) হল নিরাপদ যোগাযোগ প্রোটোকল, যা ক্লায়েন্ট (ব্রাউজার) এবং সার্ভারের মধ্যে ডেটার এনক্রিপশন এবং সুরক্ষা নিশ্চিত করে। এটি HTTPS (HTTP over SSL/TLS) মাধ্যমে ওয়েব পেজের নিরাপত্তা বৃদ্ধি করে।
SSL/TLS কনফিগারেশন আপনার ওয়েবসাইটকে একটি নিরাপদ চ্যানেলে ট্রান্সফার করার জন্য অপরিহার্য। এর মাধ্যমে যে কোনও আক্রমণ (যেমন, Man-in-the-middle attack) থেকে ডেটা সুরক্ষিত থাকে। ExpressJS অ্যাপে SSL/TLS কনফিগারেশন করার জন্য আপনাকে একটি SSL সার্টিফিকেট প্রয়োজন হয়।
৪. ExpressJS অ্যাপে SSL/TLS কনফিগারেশন
৪.১. SSL সার্টিফিকেট তৈরি করা
SSL সার্টিফিকেটের জন্য আপনি Let's Encrypt বা কোনও পাবলিক সার্টিফিকেট অথরিটি (CA) থেকে সার্টিফিকেট পেতে পারেন। যদি আপনি ডেভেলপমেন্ট পরিবেশে কাজ করছেন, তবে আপনি একটি self-signed certificate তৈরি করতে পারেন।
Self-signed certificate তৈরি করতে OpenSSL ব্যবহার করতে পারেন:
openssl genpkey -algorithm RSA -out private.key
openssl req -new -key private.key -out csr.pem
openssl x509 -req -in csr.pem -signkey private.key -out cert.pem
এটি তিনটি ফাইল তৈরি করবে:
private.key: প্রাইভেট কি।csr.pem: সার্টিফিকেট সাইনিং রিকোয়েস্ট।cert.pem: পাবলিক সার্টিফিকেট।
৪.২. ExpressJS অ্যাপে SSL/TLS সেটআপ
ExpressJS অ্যাপে SSL কনফিগার করার জন্য আপনি https মডিউলটি ব্যবহার করতে হবে।
const express = require('express');
const https = require('https');
const fs = require('fs');
const app = express();
// SSL সার্টিফিকেট লোড করা
const options = {
key: fs.readFileSync('private.key'),
cert: fs.readFileSync('cert.pem')
};
// SSL/TLS সহ অ্যাপ্লিকেশন শুরু করা
https.createServer(options, app).listen(3000, () => {
console.log('Secure server running on https://localhost:3000');
});
app.get('/', (req, res) => {
res.send('Hello Secure World!');
});
এখানে:
fs.readFileSync('private.key')এবংfs.readFileSync('cert.pem')দিয়ে SSL সার্টিফিকেটের ফাইলগুলো লোড করা হচ্ছে।https.createServer(options, app)এর মাধ্যমে Express অ্যাপ্লিকেশনটি HTTPS প্রোটোকলে রান করানো হচ্ছে।
৫. HTTP থেকে HTTPS রিডিরেকশন
এটি গুরুত্বপূর্ণ যে HTTP রিকোয়েস্টগুলোকে HTTPS এ রিডিরেক্ট করা হোক, যাতে ব্রাউজার HTTPS ছাড়া অ্যাপ্লিকেশনটি না অ্যাক্সেস করতে পারে।
const express = require('express');
const app = express();
// HTTP রিকোয়েস্ট HTTPS এ রিডিরেক্ট করা
app.use((req, res, next) => {
if (req.protocol !== 'https') {
return res.redirect('https://' + req.headers.host + req.url);
}
next();
});
app.get('/', (req, res) => {
res.send('Hello World');
});
app.listen(80, () => {
console.log('HTTP server running on http://localhost');
});
এখানে:
req.protocol !== 'https'দিয়ে HTTP রিকোয়েস্ট চেক করা হচ্ছে এবং যদি তা HTTP হয়, তাহলে তা HTTPS তে রিডিরেক্ট করা হচ্ছে।
সারাংশ
ExpressJS অ্যাপ্লিকেশনগুলির সুরক্ষা নিশ্চিত করার জন্য Secure HTTP Headers এবং SSL/TLS কনফিগারেশন গুরুত্বপূর্ণ ভূমিকা পালন করে। Helmet প্যাকেজ ব্যবহার করে সিকিউর HTTP হেডার কনফিগার করা যায় এবং SSL/TLS এর মাধ্যমে নিরাপদ HTTPS সংযোগ স্থাপন করা যায়। এই পদ্ধতিগুলি আপনার অ্যাপ্লিকেশনকে বিভিন্ন ধরনের আক্রমণ থেকে সুরক্ষিত রাখতে সাহায্য করে এবং ক্লায়েন্টের ডেটা এনক্রিপ্ট করে নিরাপদ রাখে।
Read more
