Blog#213: 🔐Node.js Expressでファイルアップロードを安全に行う方法:詳細で視覚的なガイド

NGUYỄN ANH TUẤN -
0

213

こんにちは、私はトゥアンと申します。東京からフルスタックWeb開発者です。 将来の有用で面白い記事を見逃さないように、私のブログをフォローしてください。😊

ファイルのアップロードは、現代のWebアプリケーションで一般的な機能です。ユーザーは、画像、ビデオ、ドキュメントなどのさまざまな種類のファイルを提出して、サービスとやりとりすることができます。ただし、ファイルのアップロードには潜在的なセキュリティリスクも伴います。この記事では、Node.js Expressアプリケーションでファイルのアップロードを安全に行う方法について、詳細で視覚的なガイドを提供します。アプリが安全で効率的であることを確認するために、これに従ってください。

1:ファイルアップロードのリスクを理解する

セキュリティ対策に取り掛かる前に、ファイルのアップロードに関連する潜在的なリスクを理解することが重要です。これらのリスクには次のようなものがあります。

  • 悪意のあるファイルのアップロード: アタッカーは、アプリケーションやサーバーを危険にさらす可能性のある悪意のあるスクリプトが含まれたファイルをアップロードすることがあります。
  • サービス拒否(DoS)攻撃: 大量のファイルアップロードにより、サーバーのリソースが枯渇し、アプリが応答しなくなる可能性があります。
  • 機密データの漏洩: 不正なユーザーが機密情報が含まれるファイルにアクセスする可能性があります。

2:基本的なNode.js Expressアプリケーションのセットアップ

ファイルアップロードを安全にする方法を示すために、基本的なNode.js Expressアプリケーションをセットアップしましょう。まず、必要なパッケージをインストールします。

npm init -y
npm install express multer

次に、app.jsファイルを作成し、必要なモジュールをインポートします。

const express = require('express');
const multer = require('multer');

const app = express();
const port = process.env.PORT || 3000;

app.listen(port, () => {
    console.log(`Server running at http://localhost:${port}`);
});

3:Multerを使用したファイルアップロードの実装

Multerは、Expressでファイルアップロードを処理するための一般的なミドルウェアです。まず、Multerを設定し、ストレージエンジンを設定します。

const storage = multer.diskStorage({
  destination: (req, file, cb) => {
    cb(null, './uploads');
  },
  filename: (req, file, cb) => {
    const uniqueSuffix = Date.now() + '-' + Math.round(Math.random() * 1e9);
    cb(null, file.fieldname + '-' + uniqueSuffix);
  },
});

const upload = multer({ storage });

次に、ファイルアップロードのためのルートを作成します。

app.post('/upload', upload.single('file'), (req, res) => {
  res.status(200).send({ message: 'File uploaded successfully.' });
});

4:ファイルアップロードのセキュリティ

4.1 ファイルサイズの制限

最初のセキュリティ対策は、ファイルサイズを制限することです。これにより、DoS攻撃を防ぎ、サーバーリソースが枯渇するリスクを減らすことができます。Multerを設定する際に、ファイルサイズの制限を設定します。

const upload = multer({
  storage,
  limits: { fileSize: 2 * 1024 * 1024 }, // 2MB
});

4.2 ファイルタイプの検証

特定のファイルタイプのみが許可されるようにします。これにより、悪意のあるファイルのアップロードのリスクが減ります。Multer設定にファイルフィルター関数を追加します。

const allowedFileTypes = ['image/jpeg', 'image/png', 'image/gif'];

const fileFilter = (req, file, cb) => {
  if (allowedFileTypes.includes(file.mimetype)) {
    cb(null, true);
  } else {
    cb(null, false);
  }
};

const upload = multer({
  storage,
  limits: { fileSize: 2 * 1024 * 1024 },
  fileFilter,
});

4.3 リジェクトされたファイルの処理

ファイルがリジェクトされた場合、適切なエラーメッセージをユーザーに提供することが重要です。リジェクトされたファイルを処理するために、/uploadルートを更新します。

app.post('/upload', upload.single('file'), (req, res) => {
    if (!req.file) {
        return res.status(400).send({ message: 'Invalid file type or file too large.' });
    }
    res.status(200).send({ message: 'File uploaded successfully.' });
});

4.4 ファイルをマルウェアからスキャンする

アプリケーションをさらに保護するために、アップロードされたファイルをマルウェアからスキャンします。ClamAVアンチウイルスエンジンを使用することができます。clamscanパッケージをインストールします。

npm install clamscan

次に、ClamScanモジュールをインポートして設定します。

const { NodeClam } = require('clamscan');
const clamscan = new NodeClam();

clamscan.init({
  clamdscan: {
    path: '/usr/bin/clamdscan', // お使いのサーバー上のclamdscanバイナリへのパス
    config_file: '/etc/clamd.d/scan.conf', // お使いのサーバー上のClamAV設定ファイルへのパス
  },
  preference: 'clamdscan',
});

/uploadルートでアップロードされたファイルをマルウェアからスキャンします。

app.post('/upload', upload.single('file'), async (req, res) => {
  if (!req.file) {
    return res.status(400).send({ message: 'Invalid file type or file too large.' });
  }

  try {
    const scanResult = await clamscan.scan_file(req.file.path);
    if (scanResult.is_infected) {
      fs.unlinkSync(req.file.path); // 感染したファイルを削除する
      return res.status(400).send({ message: 'File is infected with malware.' });
    }
    res.status(200).send({ message: 'File uploaded successfully.' });
  } catch (error) {
    res.status(500).send({ message: 'Error scanning file for malware.' });
  }
});

fsモジュールをインポートすることを忘れないでください。

const fs = require('fs');

4.5 ファイルをWebルートの外に保存する

Webルートの外にアップロードされたファイルを保存することで、それらのファイルへの直接アクセスを防ぐことができます。この例では、uploadsフォルダを使用し、Webルートディレクトリの外に配置します。

const storage = multer.diskStorage({
  destination: (req, file, cb) => {
    cb(null, '../uploads');
  },
  // ...
});

4.6 ファイルを安全に提供する

ファイルを安全に提供するために、ユーザーの認証を確認し、res.sendFile()メソッドを使用してファイルを提供する新しいルートを作成します。

app.get('/files/:filename', (req, res) => {
    // ユーザーの認証をここで確認する
    const filename = req.params.filename;
    const filePath = path.join('../uploads', filename);
    res.sendFile(filePath);
});

pathモジュールのインポートを忘れないでください。

const path = require('path');

結論

この包括的なガイドに従うことで、Node.js Expressアプリケーションで安全なファイルアップロードシステムを作成できます。ファイルサイズの制限、ファイルタイプの検証、マルウェアからのファイルスキャン、安全なファイル提供など、適切なセキュリティ対策を実装することで、ファイルアップロードに関連するさまざまなリスクからアプリを保護できます。

最後

いつもお世話になっています。この記事を楽しんで、新しいことを学べたら嬉しいです。😊

今度の記事でお会いしましょう!この記事が気に入ったら、私を応援するために「LIKE」を押して登録してください。ありがとうございました。

Tags:
NGUYỄN ANH TUẤN

Xin chào, mình là Tuấn, một kỹ sư phần mềm đang làm việc tại Tokyo. Đây là blog cá nhân nơi mình chia sẻ kiến thức và kinh nghiệm trong quá trình phát triển bản thân. Hy vọng blog sẽ là nguồn cảm hứng và động lực cho các bạn. Hãy cùng mình học hỏi và trưởng thành mỗi ngày nhé!

Đăng nhận xét

Mới hơn Cũ hơn