TypeScript czy czysty JavaScript: bezpieczeństwo aplikacji webowych w praktyce

Przez
Magdalena Jabłoński
-
0
25
Rate this post

Nawigacja:

Kontekst decyzji: TypeScript kontra czysty JavaScript w bezpieczeństwie

Gdzie tak naprawdę porównujemy TypeScript i JavaScript

Bezpieczeństwo aplikacji webowych w kontekście TypeScriptu i czystego JavaScriptu dotyczy przede wszystkim kodu uruchamianego w przeglądarce oraz w środowisku Node.js. Chodzi o frontendy SPA, aplikacje SSR (Next.js, Remix, Nest z SSR), panele administracyjne, ale też backendy node’owe wystawiające API. W każdym z tych miejsc język może ograniczyć pewną klasę błędów programistycznych lub – odwrotnie – sprzyjać ich ukrywaniu aż do produkcji.

Porównując TypeScript z czystym JavaScriptem, sensownie jest zestawiać dwa realne scenariusze: minimalny projekt JS bez dodatkowego typowania, oparty najwyżej na konwencjach i lintingu, oraz projekt TS z domyślną lub lekko zaostrzoną konfiguracją (strictNullChecks, noImplicitAny itp.). Zderzenie tych dwóch podejść pozwala określić, na ile typowanie faktycznie wpływa na bezpieczeństwo, a na ile jest tylko narzędziem poprawiającym komfort pracy programisty.

Co oznacza bezpieczeństwo aplikacji webowych w praktyce

Bezpieczeństwo aplikacji webowych to nie tylko brak spektakularnych włamań. Z perspektywy architekta i programisty obejmuje co najmniej cztery wymiary:

  • Poufność – dane nie trafiają do kogoś, kto nie powinien ich widzieć (np. wycieki danych z API, błędne sprawdzanie uprawnień).
  • Integralność – dane nie są modyfikowane w sposób nieautoryzowany (np. ataki na mechanizmy autoryzacji, manipulacje parametrami).
  • Dostępność – system się nie wywraca przy nietypowych danych, co nie blokuje krytycznych funkcji (błędy runtime, nieskończone pętle, nieobsłużone wyjątki).
  • Bezpieczny UX błędu – aplikacja nie ujawnia wrażliwych informacji w komunikatach, stack trace’ach, logach dostępnych z poziomu klienta.

TypeScript i JavaScript dotykają głównie dwóch obszarów: integralności (logika biznesowa, poprawność operacji na danych) oraz dostępności (mniej błędów powodujących awarie). Na poufność i odporność na typowe ataki webowe (XSS, CSRF, SSRF) wpływają tylko pośrednio, poprzez redukcję błędów programistycznych, ale nie przez wbudowane mechanizmy ochronne.

Granice wpływu języka na bezpieczeństwo

Język i system typów są tylko jednym z elementów układanki. TypeScript potrafi wyeliminować sporą liczbę błędów wynikających z:

  • błędnych założeń o kształcie danych,
  • nieobsłużonych wartości null/undefined,
  • niepełnego pokrycia przypadków w logice warunkowej.

Jednak to, w jaki sposób aplikacja broni się przed XSS, CSRF, atakami na sesję, wstrzyknięciami SQL, zależy przede wszystkim od:

  • architektury (podział odpowiedzialności między frontend, backend, API),
  • konfiguracji serwera i nagłówków bezpieczeństwa (CSP, HSTS, SameSite, Secure, HttpOnly),
  • polityki uwierzytelniania i autoryzacji,
  • walidacji danych w runtime,
  • procesów CI/CD i narzędzi typu SAST/DAST.

TypeScript nie zastąpi tych elementów. Może co najwyżej zmniejszyć prawdopodobieństwo błędów logicznych, które otwierają drogę do nadużyć – na przykład przez pomyłkę w sprawdzaniu ról użytkownika lub błędne interpretowanie pól odpowiedzi z API.

Typowe incydenty wynikające z błędów w JavaScripcie

W praktyce wiele incydentów bezpieczeństwa ma źródło w zwykłych błędach JS, które pozornie nie wyglądają na poważne. Przykłady:

  • Nieobsłużone null/undefined – błąd typu Cannot read property 'role' of undefined w newralgicznym miejscu logiki autoryzacji może spowodować, że fallbackowy kod „na wszelki wypadek” przyzna zbyt szeroki dostęp.
  • Błędne założenia o kształcie danych z API – aplikacja administracyjna zakłada, że pole isAdmin zawsze istnieje i jest booleanem. W rzeczywistości API czasem go nie zwraca, więc kod if (user.isAdmin) w trybie luźnej logiki przepuszcza błędne przypadki (np. undefined jest traktowane inaczej niż oczekiwano, lub przy refaktoryzacji zostaje źle zmapowane).
  • Błędy w kontroli uprawnień po stronie klienta – modyfikacja logiki UI na podstawie „typów” lub nazwy pola, a nie rzeczywistej logiki backendu. Użytkownik techniczny szybko omija takie zabezpieczenia, manipulując requestem niezależnie od UI.

TypeScript może ograniczyć część z tych problemów, ale tylko jeśli jest używany konsekwentnie i z odpowiednio rygorystyczną konfiguracją. Samo „przepisanie na TS” bez zmiany nawyków i procesów niewiele daje.

Model zagrożeń w aplikacjach webowych a rola języka

Główne klasy zagrożeń w aplikacjach webowych

Najczęściej rozpatrywane klasy zagrożeń (OWASP, praktyka pentestów) to między innymi:

  • XSS (Cross-Site Scripting) – wstrzyknięcie złośliwego JavaScriptu poprzez podatne pola wejścia, niewłaściwe kodowanie danych lub brak izolacji treści.
  • CSRF (Cross-Site Request Forgery) – wymuszenie akcji w imieniu zalogowanego użytkownika przez złośliwy serwis lub skrypt.
  • SSRF (Server-Side Request Forgery) – zmuszenie serwera do wykonywania żądań HTTP do zasobów wewnętrznych.
  • IDOR (Insecure Direct Object Reference) – bezpośredni dostęp do zasobów na podstawie przewidywalnego identyfikatora, bez właściwej kontroli uprawnień.
  • Ataki na autoryzację i sesję – przejęcie tokenów, manipulacja rolami, błędne sprawdzanie uprawnień.

Żadne z tych zagrożeń nie jest „rozwiązywane” przez sam wybór TypeScriptu zamiast JavaScriptu. System typów może jednak:

  • częściowo ograniczyć błędy logiki prowadzące do IDOR i problemów z autoryzacją,
  • utrudnić wprowadzenie niespójności podczas refaktoryzacji mechanizmów sesji i tokenów,
  • zredukować nieoczekiwane stany, które w połączeniu z błędną obsługą błędów mogą ujawniać dane.

Co typowanie może złagodzić, a co jest poza jego zasięgiem

Typowanie jest skuteczne tam, gdzie podatność powstaje z błędnych założeń o danych lub o przepływie kontroli. Dotyczy to przede wszystkim:

  • niekompletnej walidacji wejścia po stronie backendu,
  • mylenia typów wartości (np. tokenu, ID użytkownika, flagi uprawnień),
  • pomyłek w wywołaniach funkcji bezpieczeństwa (np. funkcja generująca podpis dostaje złe parametry).

Z drugiej strony, typowanie jest prawie bez znaczenia tam, gdzie zagrożenie wynika z:

  • braku lub złej konfiguracji nagłówków bezpieczeństwa (CSP, SameSite, HttpOnly, HSTS),
  • braku fizycznej walidacji danych w runtime,
  • architektonicznego błędu (np. zaufanie do danych z klienta przy podejmowaniu decyzji autoryzacyjnych).

TypeScript może poprawić jakość kodu obsługującego te mechanizmy, ale nie zastąpi samego faktu ich poprawnej konfiguracji. Brak CSP lub przechowywanie JWT w localStorage pozostanie ryzykowne niezależnie od tego, czy aplikacja jest napisana w TS, czy w czystym JS.

Błędne założenia o danych kontra luki w logice biznesowej

W praktyce spotyka się dwie kategorie błędów prowadzących do luk bezpieczeństwa:

  1. Błędy „technicznotypowe” – np. traktowanie stringa jako liczby, nieobsłużone null, niepełne sprawdzenie wariantów union.
  2. Błędy logiki biznesowej – np. za słabe reguły autoryzacji, brak dodatkowych weryfikacji przy wrażliwych operacjach.

TypeScript dobrze radzi sobie z pierwszą kategorią, bo dokładnie to robi kompilator i statyczna analiza: pilnuje zgodności typów, kompletności switchy, ryzykownych rzutowań. Druga kategoria jest problemem projektowym. Żaden system typów nie wymyśli za zespół, że do zmiany adresu e-mail trzeba wymusić ponowne wpisanie hasła lub potwierdzenie kodem SMS.

Tym samym, im bardziej złożona logika i struktury danych, tym większa rola TypeScriptu jako „pasa bezpieczeństwa” przeciwko błędom implementacyjnym, ale nadal wymagana jest dojrzała analiza zagrożeń i przemyślana logika biznesowa.

Co realnie zależy od TypeScriptu, a co od infrastruktury

W kontekście bezpieczeństwa aplikacji webowych warto oddzielić dwa poziomy:

  • Poziom kodu – kontrakty typów, logika biznesowa, poprawne użycie bibliotek security.
  • Poziom infrastruktury / konfiguracji – serwer, reverse proxy, nagłówki HTTP, polityki CORS, zarządzanie sekretami.

TypeScript działa wyłącznie na poziomie kodu i to tylko przed uruchomieniem (compile-time). Nie kontroluje, jak działają:

  • WAF i filtry na poziomie API Gateway.
  • Moduły bezpieczeństwa w serwerze www.
  • Reguły firewalli i segmentacja sieci.

Decyzja „TS czy czysty JS” powinna być więc rozpatrywana jako element szerszej strategii, a nie główne zabezpieczenie. W projektach, gdzie reszta układanki jest zaniedbana, przejście na TypeScript może co najwyżej ograniczyć ilość błędów runtime, ale nie zastąpi brakujących warstw ochrony.

Słabe i mocne strony czystego JavaScriptu pod kątem bezpieczeństwa

Elastyczność typów jako miecz obosieczny

Czysty JavaScript jest dynamicznie typowany. To przyspiesza development i eksperymenty, ale w kontekście bezpieczeństwa stanowi istotne źródło ryzyka. Programista często opiera się na założeniu „to zawsze będzie string”, „to pole zawsze będzie ustawione”, „ta funkcja zawsze zwróci obiekt o takim kształcie”. Kompilator niczego tu nie wymusi, a linting bywa skonfigurowany zbyt łagodnie lub jest obchodzony przez komentarze // eslint-disable.

Mechanizmy coercion i zasady truthiness/falsiness dodatkowo maskują błędy. Warunki typu if (user.id) albo if (!value) zachowują się inaczej dla 0, "", null, undefined i to często w najmniej przewidywalnym miejscu w kodzie.

Typowe problemy w czystym JS, które sprzyjają podatnościom

Najczęściej spotykane problemy w czystym JavaScripcie pod kątem bezpieczeństwa to:

  • Implicit coercion – porównania luźne (==, !=) i logika zależna od konwersji typów potrafią tworzyć nieintuicyjne ścieżki, zwłaszcza przy danych z zewnątrz.
  • Falsy values – wrażliwe decyzje podejmowane na podstawie ogólnej prawdziwości wartości. if (!userId) nie odróżnia braku ID od legalnego ID 0 (w niektórych systemach to może mieć znaczenie).
  • Brak wymuszonej kontroli null/undefined – kod automatycznie przyjmuje, że dane istnieją. Błędy Cannot read properties of undefined są „naprawiane” przez dodawanie if (user) w przypadkowych miejscach, bez przemyślenia spójnego przepływu danych.
  • Zaufanie do shape’u obiektu – brak kontraktów typów prowadzi do sytuacji, w której komponent UI zakłada inny kształt obiektu użytkownika niż logika autoryzacyjna. W efekcie pojawiają się luki typu „ukryty przycisk jest, ale autoryzacja backendu jest błędna” lub odwrotnie.

Przykłady błędów JS prowadzących do problemów bezpieczeństwa

Przykładowy błąd z czystym JS i implicit coercion:

// Czysty JavaScript
function hasAdminAccess(user) {
  // Zakładamy, że role to tablica stringów
  if (!user || !user.roles) return false;

  // Gdzieś indziej w kodzie ktoś ustawił user.roles = "admin"
  return user.roles.includes("admin");
}

Jeśli w innym miejscu ktoś niechcący przypisze user.roles = "admin" zamiast ["admin"], powyższy kod nadal zadziała, bo "admin".includes("admin") zwróci true. Błąd typów zostanie zamaskowany, a logika autoryzacyjna zaakceptuje niepoprawny kształt danych.

Drugi przykład – polegamy na „truthy”:

Gdy „truthy” i „falsy” spotykają się z logiką bezpieczeństwa

Niewinne skróty myślowe często uderzają dokładnie w miejsca związane z uprawnieniami. Przykład z generyczną walidacją dostępu:

// Czysty JavaScript
function canAccess(resource, user) {
  if (!user || !user.role) {
    return false;
  }

  // Rolą może być pusty string, null, 0 itp.
  if (!user.role) {
    return false;
  }

  if (user.role === "admin") return true;
  if (user.role === "editor" && resource.editable) return true;

  return false;
}

// Gdzieś indziej:
const user = { role: 0 }; // Numeryczna reprezentacja roli z bazy
canAccess(secretResource, user); // Zwróci false, ale bug jest ukryty

Powyższy przykład na pierwszy rzut oka wygląda na poprawny – if (!user.role) wydaje się sensowne. Problem w tym, że pod spodem kryje się niespójność reprezentacji roli (czasem string, czasem liczba). W wielu systemach role są przechowywane jako liczby i mapowane na stringi dopiero w warstwie aplikacji. W czystym JS nikt nie zmusi zespołu do ujednolicenia tego kontraktu.

Podobnie „sprytne” skróty logiczne na tokenach lub flagach bezpieczeństwa mogą prowadzić do nieoczywistych zachowań, np.:

if (!session.token) {
  // Wygeneruj nowy token
}

Jeśli w pewnym momencie token zmieni format (np. z stringa na obiekt zawierający dodatkowe pola), stary warunek zacznie działać inaczej, a błędne sesje będą traktowane jako poprawne lub odwrotnie. Typowy przepis na incydent, który wyjdzie na jaw dopiero w trakcie audytu.

Elastyczność modułów i monkey patching jako źródło niespodzianek

Czysty JavaScript zachęca do dynamicznych modyfikacji obiektów i prototypów. Dla niektórych bibliotek to atut, ale w kontekście bezpieczeństwa bywa problematyczny. Spotykane praktyki:

  • nadpisywanie metod w globalnych obiektach (np. Array.prototype, String.prototype) w bibliotekach „pomocniczych”,
  • dynamiczne doczepianie pól do obiektów użytkownika lub kontekstu żądania,
  • mieszanie odpowiedzialności: ten sam obiekt reprezentuje zarówno dane z bazy, jak i dane po walidacji.

W takiej sytuacji zrozumienie, które pole jest „zaufane”, a które pochodzi bezpośrednio z klienta, staje się trudne. Atakujący tylko na tym zyska. Brak statycznego kontraktu pozwala, by obiekt user w różnych miejscach procesu miał zupełnie inny kształt, bez najmniejszego ostrzeżenia ze strony narzędzi.

Kolorowy zbliżenie ekranu z kodem JavaScript i TypeScript
Źródło: Pexels | Autor: Muhammed Ensar

Jak TypeScript wpływa na bezpieczeństwo – realne korzyści, nie marketing

Wymuszanie spójnych kontraktów danych

Największa praktyczna korzyść z TypeScriptu w kontekście bezpieczeństwa to wymuszenie spójności kształtu danych. Interfejsy, typy i aliasy to nie ozdoba – to twardy kontrakt.

interface User {
  id: string;
  roles: string[];
  isTwoFactorEnabled: boolean;
}

function hasAdminAccess(user: User | null): boolean {
  if (!user) return false;
  return user.roles.includes("admin");
}

Jeśli ktoś spróbuje wstrzyknąć w innym miejscu obiekt z roles: "admin", kompilator zgłosi błąd. Tego typu „przecieki” są częstym źródłem luk, gdy w jednym module rola jest traktowana jako tablica, w innym jako pojedynczy string, a w jeszcze innym – jako liczba. TypeScript nie rozwiązuje problemu złych reguł, ale ogranicza bałagan reprezentacji.

Lepsza ochrona przed „cichymi” błędami w logice autoryzacji

Błędy autoryzacji są szczególnie groźne, bo zwykle długo pozostają niezauważone. TypeScript potrafi wychwycić część z nich, zwłaszcza tam, gdzie opierają się na niejawnych założeniach o polach obiektu.

Przykład z logiką uprawnień opartą na roli i flagach:

type Role = "admin" | "editor" | "viewer";

interface Permissions {
  canEditSensitive: boolean;
  canViewBilling: boolean;
}

interface AuthContext {
  userId: string;
  role: Role;
  permissions: Permissions;
}

// Funkcja autoryzacyjna
function canEditBilling(ctx: AuthContext): boolean {
  // Wymagamy roli + konkretnej flagi
  return ctx.role === "admin" && ctx.permissions.canEditSensitive;
}

Jeżeli po jakimś czasie aplikacja zyskuje nową rolę, np. "accountant", dodanie jej do typu Role wymusi przejrzenie wszystkich miejsc, w których ta rola powinna (lub nie powinna) mieć dostęp. Kompilator zgłosi „nieobsłużone gałęzie” w switchach lub miejscach, gdzie używane są wyczerpujące porównania. W czystym JS takie miejsca trzeba wyłapać ręcznie, co w większym systemie zwykle się nie udaje.

Modelowanie „bezpiecznych” i „niebezpiecznych” wartości przez typy

Praktycznym wzorcem w TS jest rozdzielenie typów danych surowych od danych już zaufanych. Model jest prosty:

  • typ A – dane z zewnątrz, niezweryfikowane,
  • typ B – dane po walidacji i oczyszczeniu,
  • funkcja konwersji A → B, która wykonuje faktyczną walidację.
type RawUserInput = {
  email: unknown;
  password: unknown;
};

interface SanitizedUserInput {
  email: string;
  password: string;
}

function sanitizeUserInput(input: RawUserInput): SanitizedUserInput {
  if (typeof input.email !== "string") {
    throw new Error("Invalid email");
  }
  if (typeof input.password !== "string") {
    throw new Error("Invalid password");
  }
  return {
    email: input.email.trim().toLowerCase(),
    password: input.password,
  };
}

Pozostała część systemu pracuje wyłącznie na SanitizedUserInput. Jeśli ktoś spróbuje pominąć walidację i przekazać RawUserInput w miejsce, gdzie oczekiwany jest typ „oczyszczony”, kompilator zablokuje taki kod. To minimalizuje sytuacje, w których wrażliwe fragmenty logiki przypadkiem dostają niezweryfikowane dane.

Statyczna analiza zależności w krytycznych ścieżkach

Rozbudowane systemy mają zwykle kilka krytycznych ścieżek: logowanie, reset hasła, zarządzanie sesją, operacje finansowe. To tam błędy typów są najbardziej kosztowne. W TypeScripcie można agresywnie typować te obszary, np. wymuszając, aby funkcje przyjmowały ściśle określone struktury, a nie „luźne” obiekty.

interface Session {
  id: string;
  userId: string;
  createdAt: Date;
  expiresAt: Date;
  isElevated: boolean; // np. po dodatkowej weryfikacji
}

function requireElevatedSession(session: Session): void {
  if (!session.isElevated) {
    throw new Error("Elevation required");
  }
}

Zamiast przekazywać „trochę danych o użytkowniku” w postaci luźnych obiektów, struktura sesji jest jasno zdefiniowana. Przypadkowe pominięcie pola lub zmiana jego typu zostanie wyłapana na etapie kompilacji, a nie po 3 miesiącach debugowania incydentu.

Granice TypeScriptu: czego typowanie nie zabezpieczy

Typy nie zatrzymają XSS, jeśli logika jest błędna

Częste uproszczenie brzmi: „TypeScript sprawi, że kod będzie bezpieczniejszy, więc problem XSS się zmniejszy”. To tylko połowa prawdy. Przykład z wypisywaniem treści pochodzących od użytkownika:

interface Comment {
  author: string;
  text: string; // Dane z formularza użytkownika
}

function renderComment(comment: Comment): string {
  return `<div class="comment">
    <span class="author">${comment.author}</span>
    <p>${comment.text}</p>
  </div>`;
}

Kompilator jest w pełni zadowolony: author i text to stringi, wszystko się zgadza. Problem w tym, że takie łączenie stringów bez kontekstu HTML/DOM praktycznie zaprasza XSS, jeśli dane nie są filtrowane lub escapowane. TypeScript nie sprawdza, skąd pochodzi ten string, ani czy nie zawiera <script>. To już domena walidacji runtime i odpowiednich bibliotek.

Statyczne typy nie zastąpią CSP, nagłówków i sandboxów

Typowanie nie ma żadnego wpływu na:

  • Content Security Policy i ograniczenie źródeł skryptów,
  • ustawienia HttpOnly i Secure dla ciasteczek,
  • izolację domen w iframach (sandbox, X-Frame-Options),
  • SameSite dla ciasteczek w kontekście CSRF.

Można mieć perfekcyjnie typowany kod i jednocześnie wystawioną aplikację bez CSP, gdzie każdy XSS kończy się przejęciem sesji. Z drugiej strony, dobrze skonfigurowane nagłówki potrafią znacznie złagodzić skutki błędów w kodzie, niezależnie od tego, czy jest napisany w JS, czy TS. Temat bezpieczeństwa kończy się dopiero tam, gdzie spotykają się kod, konfiguracja i infrastruktura – TypeScript obejmuje tylko pierwszą z tych warstw.

Brak zaufania do klienta pozostaje zasadą

TypeScript nie zmienia faktu, że wszystkie dane z klienta są niezaufane. Typ string po stronie serwera oznacza tylko tyle, że kod oczekuje tekstu; nie oznacza, że ten tekst jest bezpieczny, unikalny, zgodny ze schematem czy pozbawiony payloadów XSS/SQLi.

Typowy błąd to próba opisania danych z requestu za pomocą „ładnych” interfejsów:

interface UserRegistrationRequest {
  email: string;
  password: string;
}

function registerUser(body: UserRegistrationRequest) {
  // ...
}

Taki kod wygląda poprawnie, ale jeśli body pochodzi bezpośrednio z req.body (np. w Expressie), to typ UserRegistrationRequest jest tylko obietnicą na poziomie developera, a nie rzeczywistością runtime. Bez jawnej walidacji (np. przy użyciu Zod, Joi czy innego validatora) kompilator nie ma jak wymusić, że przychodzące dane faktycznie mają zadany kształt.

System typów nie wykryje „zbyt łagodnych” reguł biznesowych

Typy pomagają wykrywać niespójności, ale nie ocenią, czy reguła autoryzacji jest wystarczająco rygorystyczna. Funkcja:

function canViewInvoice(user: User, invoice: Invoice): boolean {
  return user.id === invoice.ownerId || user.roles.includes("admin");
}

może być formalnie poprawna pod każdym względem typowania, a mimo to błędna z punktu widzenia wymagań (brak rozróżnienia ról finansowych, brak sprawdzenia statusu umowy, brak ograniczeń czasowych). System typów nie powie, że trzeba dodać weryfikację dwuskładnikową przy szczególnie wrażliwych operacjach. Tu nadal konieczna jest analiza ryzyka i recenzje bezpieczeństwa.

Typowanie a walidacja danych: jak uniknąć fałszywego poczucia bezpieczeństwa

„As” i „non-null assertion” jako furtki dla błędów

Tam, gdzie TypeScript zaczyna być niewygodny, część zespołów sięga po skróty: as any, as unknown as T, operator ! ignorujący null/undefined. Z perspektywy bezpieczeństwa to nic innego jak wyłączanie alarmu przeciwpożarowego, bo „ciągle piszczy”.

interface SafeUser {
  id: string;
  email: string;
}

// Gdzieś w kodzie
const user = (req as any).user as SafeUser;

processUser(user!);

Ani as SafeUser, ani user! nie wykonują żadnej faktycznej walidacji. To wyłącznie komunikat dla kompilatora: „zaufaj mi, wiem co robię”. W środowisku, gdzie dane przychodzą z zewnętrznego świata, taki wzorzec jest dokładnie przeciwieństwem bezpiecznego podejścia. Jeśli aplikacja często korzysta z any i agresywnych rzutowań, zyski bezpieczeństwa z TypeScriptu stają się pozorne.

Łączenie typów z walidacją runtime

Rozsądny kompromis polega na powiązaniu typów z walidatorami działającymi w runtime. Przykładowe połączenie z biblioteką schematów (podejście ogólne, niezależnie od wybranej biblioteki):

import { z } from "zod";

const UserRegistrationSchema = z.object({
  email: z.string().email(),
  password: z.string().min(12),
});

type UserRegistrationInput = z.infer<typeof UserRegistrationSchema>;

function handleRegister(body: unknown) {
  const input: UserRegistrationInput = UserRegistrationSchema.parse(body);

  // Od tego miejsca input jest zarówno zweryfikowany,
  // jak i poprawnie typowany.
  createUser(input);
}

Tutaj typ UserRegistrationInput wynika bezpośrednio ze schematu walidacji. Ryzyko rozjazdu między deklaracją typu a faktycznymi regułami walidacji jest znacznie mniejsze. Nadal można popełnić błąd w samym schemacie (zbyt łagodne reguły), ale przynajmniej nie ma furtki w postaci „kompilator uważa, że wszystko jest ok, ale runtime dostaje zupełnie coś innego”.

Typy nie powiedzą, czy walidujesz „wystarczająco wcześnie”

Miejsce walidacji w przepływie żądań

Jednym z częstszych błędów jest traktowanie walidacji jak kosmetycznego filtra na wejściu formularza. W praktyce jej położenie w przepływie żądania decyduje o tym, czy zabezpieczenia faktycznie działają. Typy mogą opisywać już zwalidowane struktury, ale nie wymuszą, gdzie walidacja jest wykonywana.

Bezpieczniejszy wzorzec zakłada wyraźny podział warstw:

  • warstwa „brudna” – wszystko to, co pochodzi z zewnątrz: req.body, req.query, nagłówki,
  • warstwa walidacji/normalizacji – konwersja unknown → zweryfikowany typ,
  • warstwa biznesowa – funkcje, które <emnigdy nie widzą niezweryfikowanych danych.
type UserRegistrationRaw = unknown;

function registrationController(req: Request) {
  const raw: UserRegistrationRaw = req.body;
  const input = UserRegistrationSchema.parse(raw); // walidacja i normalizacja

  // Dalej pracujemy wyłącznie na zweryfikowanym typie
  registerUser(input);
}

function registerUser(input: UserRegistrationInput) {
  // Funkcja zakłada, że input przeszedł już walidację
}

Jeżeli logika domenowa zaczyna bezpośrednio dotykać req lub innych „brudnych” struktur, granica odpowiedzialności się rozmywa. Typy nie pokażą, że ktoś podpiął wywołanie registerUser(req.body as any) z pominięciem kontrolera i walidatora. To wciąż kwestia dyscypliny architektonicznej, nie magii kompilatora.

Spójność typów pomiędzy frontendem i backendem

Część zespołów traktuje TypeScript jako uniwersalny język kontraktu między frontendem a backendem: „skoro mamy wspólne typy, to na pewno unikniemy błędów”. W praktyce wspólny model typów faktycznie redukuje pewną klasę pomyłek (np. literówki w polach, zmiany nazwy bez refaktoryzacji), ale może też stworzyć iluzję, że walidacja po stronie serwera staje się mniej istotna.

Schemat „udostępniamy paczkę @our-org/api-types z interfejsami” nie zastępuje twardych kontroli na backendzie. Frontend może:

  • posiadać błąd w logice walidacji formularza,
  • zostać celowo ominięty przez atakującego, który wysyła ręcznie zmodyfikowane żądania,
  • korzystać z przestarzałej wersji typów (np. po zmianie API).

Jeśli backend bezkrytycznie przyjmuje dane jako SomeSharedType tylko dlatego, że „przecież to ten sam interfejs, co na froncie”, otwiera się furtka dla niespójności. Lepiej traktować wspólne typy jako narzędzie dla developerów, a na poziomie aplikacji backendowej nadal egzekwować schematy walidacji niezależnie od frontendu.

Bezpieczne API funkcji – „nieprzepuszczalne” interfejsy

Typy mogą natomiast pomóc zbudować API funkcji, które „wymusza” wcześniejszą walidację. Chodzi o to, by w ogóle nie dało się wywołać krytycznych operacji bez przekazania odpowiedniego, już zweryfikowanego typu.

// Dane surowe przychodzące z HTTP
type RawPasswordChangeRequest = unknown;

// Typ po walidacji
interface PasswordChange {
  userId: string;
  newPassword: string;
  requestedAt: Date;
}

function validatePasswordChange(input: RawPasswordChangeRequest): PasswordChange {
  // Sprawdzenie typów, długości hasła, itp.
  // W razie błędu rzucamy wyjątek
  // ...
}

// Funkcja domenowa przyjmuje już tylko "czysty" typ
function changePassword(request: PasswordChange) {
  // ...
}

Dzięki temu, jeżeli ktoś spróbuje podać RawPasswordChangeRequest bez przejścia przez walidator, zatrzyma go kompilator. Nie jest to stuprocentowa ochrona (wciąż można użyć as any), ale wymusza świadome „łamane” zabezpieczeń, które łatwiej wyłapać w code review.

Model kontroli uprawnień a system typów

W kontekście uprawnień typy mogą wymusić korzystanie z jednego, centralnego modelu autoryzacji, zamiast rozpraszania warunków if (user.role === "admin") po całym kodzie. Nie rozwiąże to wszystkich problemów, ale ograniczy przypadkowe „dziury” wynikające z braku spójności.

type Role = "user" | "admin" | "finance";

interface AuthenticatedUser {
  id: string;
  roles: Role[];
}

type Permission =
  | "invoice:view"
  | "invoice:refund"
  | "user:manage";

function hasPermission(user: AuthenticatedUser, permission: Permission): boolean {
  // Centralne mapowanie ról na uprawnienia
  // np. admin: wszystkie, finance: invoice:view/refund, user:manage - nigdy
  // ...
}

function viewInvoice(user: AuthenticatedUser, invoiceId: string) {
  if (!hasPermission(user, "invoice:view")) {
    throw new Error("Forbidden");
  }
  // ...
}

Jeżeli ktoś spróbuje ominąć centralną funkcję hasPermission i zaszyć własną logikę uprawnień „na skróty”, nie zatrzyma go kompilator – to klasyczny przykład obszaru, gdzie system typów nie „domknie” modelu bezpieczeństwa. Natomiast typy Role i Permission pomogą w jednym: kiedy doda się nową rolę lub nowe uprawnienie, łatwiej znaleźć wszystkie miejsca, które wymagają aktualizacji.

Ostrożne korzystanie z typów generycznych w warstwie bezpieczeństwa

Typy generyczne potrafią znacząco uprościć kod reużywalny, ale w warstwie bezpieczeństwa bywają mieczem obosiecznym. Zbyt ogólne generyki łatwo zaciemniają, który fragment kodu odpowiada za walidację, a który tylko „przepuszcza” dane dalej.

// Zbyt ogólne rozwiązanie
function sanitize<T>(input: T): T {
  // "Sanity check" albo kosmetyczne zmiany
  return input;
}

function handlePayment(request: PaymentRequest) {
  const safeRequest = sanitize(request);
  // Uspokajająca nazwa, ale brak realnej walidacji
  processPayment(safeRequest);
}

Nazwy pokroju sanitize czy secure sugerują silne zabezpieczenia, podczas gdy generyczny typ T nie niesie prawie żadnej informacji. W przypadku krytycznych ścieżek lepiej stosować jawne, wyspecjalizowane typy:

interface RawPaymentRequest {
  // dowolny kształt
}

interface VerifiedPaymentRequest {
  amount: number;
  currency: "EUR" | "USD";
  userId: string;
  // inne wymuszone pola
}

function verifyPayment(input: RawPaymentRequest): VerifiedPaymentRequest {
  // Szczegółowa walidacja
}

Zyskiem jest mniejsza elastyczność, ale też mniejsze pole do nadużyć. Ogólny generyk w module „security.ts” kusi, by używać go wszędzie bez zastanowienia, co zwykle kończy się nadaniem mu zbyt słabego znaczenia.

Bezpieczne domyślne konfiguracje w kodzie typowanym

Czysty JavaScript aż zachęca do szybkich eksperymentów z konfiguracją: „ustawmy to na false, zobaczymy, co się stanie”. W TypeScripcie można część takich pokus ograniczyć, stosując „twardsze” modele konfiguracji, szczególnie w aspektach bezpieczeństwa.

interface SecurityConfig {
  requireTwoFactorForAdmins: boolean;
  allowedOrigins: string[];
  maxLoginAttempts: number;
}

const defaultSecurityConfig: SecurityConfig = {
  requireTwoFactorForAdmins: true,
  allowedOrigins: [],
  maxLoginAttempts: 5,
};

function initAppSecurity(configOverrides: Partial<SecurityConfig> = {}) {
  const config: SecurityConfig = {
    ...defaultSecurityConfig,
    ...configOverrides,
  };

  // Dalej pracujemy na pełnym, jawnie określonym configu
}

Sam fakt posiadania typu SecurityConfig nie gwarantuje sensownych wartości, ale zmusza do ich nazwania. Łatwiej wychwycić „tymczasowe” wyłączenia zabezpieczeń, gdy w diffie widać zmianę requireTwoFactorForAdmins: true → false, zamiast niejawnej manipulacji pojedynczym parametrem w dowolnym miejscu kodu.

Bezpieczeństwo a ergonomia – gdzie TypeScript przeszkadza

Zdarzają się sytuacje, w których dobrze skonfigurowany TypeScript jest postrzegany jako „zbyt restrykcyjny”, co paradoksalnie skłania część zespołu do osłabiania typów. Przykład: rygorystyczne modele danych odpowiedzi z zewnętrznego API.

interface ExternalUserProfile {
  id: string;
  email: string;
  // ... dużo pól opcjonalnych
}

// Szybkie obejście
const profile = (await fetchProfile()) as ExternalUserProfile;

Taka konstrukcja usuwa napięcie między kompilatorem a rzeczywistością, ale robi to kosztem bezpieczeństwa. Zamiast ślepego rzutowania często lepiej wprowadzić „miękki” typ pośredni z wyraźnym oznaczeniem niepewnych pól:

interface ExternalUserProfileRaw {
  id?: unknown;
  email?: unknown;
  // ...
}

interface ExternalUserProfileVerified {
  id: string;
  email: string;
  // tylko te pola, które faktycznie sprawdzamy
}

function mapProfile(raw: ExternalUserProfileRaw): ExternalUserProfileVerified {
  if (typeof raw.id !== "string") {
    throw new Error("Invalid id");
  }
  if (typeof raw.email !== "string") {
    throw new Error("Invalid email");
  }
  return {
    id: raw.id,
    email: raw.email.toLowerCase(),
  };
}

Ergonomia cierpi – trzeba napisać kilka dodatkowych linii – ale zyskiem jest jawna informacja, które elementy odpowiedzi są krytyczne i naprawdę weryfikowane. W praktyce to właśnie te „nudne” warstwy mapowania często decydują o tym, czy integracja z zewnętrznym dostawcą stanie się wektorem ataku.

Reagowanie na błędy typów jako element procesu bezpieczeństwa

Komunikaty kompilatora TypeScriptu bywają traktowane wyłącznie jako „blokery builda”. W kontekście bezpieczeństwa sensowniejsze podejście zakłada, że część z tych błędów jest sygnałem o potencjalnym problemie z zaufaniem do danych. Przykłady:

  • funkcja krytyczna zaczyna przyjmować any zamiast konkretnego interfejsu,
  • uniknięcie błędu typów wymaga as unknown as T w module odpowiedzialnym za autoryzację,
  • wprowadzany jest nowy endpoint, który przekazuje req.body dalej bez mapowania.

Tego rodzaju zmiany rzadko są przypadkowe; zwykle wynikają z próby „uproszczenia” kodu. Z punktu widzenia procesu bezpieczeństwa warto (tu wyjątkowo to słowo ma sens) traktować je jak potencjalne regresje i objąć przeglądami skoncentrowanymi na ryzyku, a nie tylko na czystości architektury.

Monitoring i logowanie a typy

Ostatnia kwestia: obserwowalność. Typy pomagają ustrukturyzować to, co trafia do logów, ale same w sobie nie zapewniają, że logowanie nie stanie się źródłem wycieku danych. Zdarza się, że zespół dodaje „tymczasowe” logi całych obiektów, aby lepiej zrozumieć problem z typami.

function handleLogin(input: UserLoginInput) {
  console.log("Login attempt", input); // wygodne, ale ryzykowne
  // ...
}

Struktura UserLoginInput jest wygodna, ale zarazem zachęca do masowego logowania poufnych informacji (takich jak hasła, tokeny, kody 2FA). Kompilator nie zgłosi tutaj żadnego sprzeciwu, bo wszystko jest „typowo poprawne”. Sensowniejszy model polega na rozdzieleniu typów:

interface UserLoginInput {
  email: string;
  password: string;
}

interface SafeLoginLogEntry {
  email: string;
  ip: string;
  userAgent: string;
}

function logLoginAttempt(entry: SafeLoginLogEntry) {
  // Logujemy tylko to, co zostało jawnie dopuszczone
}

Zmusza to autora kodu do świadomej decyzji, które pola trafią do logów. Po raz kolejny – typy nie gwarantują braku wycieku, ale tworzą dodatkową barierę przed nieprzemyślanym wrzuceniem całego obiektu wejściowego do console.log lub systemu logów produkcyjnych.

Najczęściej zadawane pytania (FAQ)

Czy TypeScript sam w sobie poprawia bezpieczeństwo aplikacji webowej?

TypeScript zmniejsza liczbę błędów logicznych i typowych wpadek w JavaScripcie (np. operacje na null/undefined, mylenie kształtu danych z API), co pośrednio wpływa na bezpieczeństwo. Mniej przypadkowych wyjątków i niespójnych stanów to mniejsze ryzyko, że awaria lub „awaryjny” fallback otworzy zbyt szerokie uprawnienia.

Nie jest to jednak „tarcza bezpieczeństwa”. TS nie włącza nagłówków CSP, nie chroni przed XSS/CSRF i nie zastępuje walidacji danych. Jeśli architektura i konfiguracja bezpieczeństwa są błędne, sam wybór TS zamiast JS niewiele zmieni.

Czy TypeScript chroni przed XSS, CSRF i innymi typowymi atakami (OWASP)?

Nie, TypeScript nie ma wbudowanych mechanizmów chroniących przed XSS, CSRF, SSRF czy IDOR. Te ataki wynikają głównie z błędnego kodowania danych, braku izolacji treści, złej polityki sesji, słabej autoryzacji i złej konfiguracji serwera lub frameworka.

TS może jedynie ograniczyć część błędów logiki, które sprzyjają takim atakom – np. mylenie typów identyfikatorów, pól autoryzacyjnych czy niepełne sprawdzanie przypadków w mechanizmach ról. Same podatności XSS/CSRF trzeba jednak adresować na poziomie architektury, nagłówków, frameworków i walidacji runtime.

Jakie typowe błędy bezpieczeństwa w JavaScripcie TypeScript może realnie ograniczyć?

Największy zysk z TS pojawia się tam, gdzie przyczyna incydentów leży w błędnych założeniach o danych lub w „techniczno–typowych” wpadkach. Chodzi głównie o:

  • nieobsłużone null/undefined w logice autoryzacji czy obsługi sesji,
  • założenia, że pole z API „zawsze istnieje” lub „zawsze jest booleanem”,
  • pomyłki w wywołaniach funkcji bezpieczeństwa (np. podpis, szyfrowanie) przez zły typ lub kolejność argumentów,
  • niepełne pokrycie wariantów (np. union typów reprezentujących stan uprawnień).

Przykład z praktyki: jeśli TS wymusi obsłużenie wszystkich wariantów typu roli użytkownika w switch, jest mniejsza szansa, że nowa rola zostanie „domyślnie” potraktowana jak admin.

Czy przepisanie projektu z czystego JavaScriptu na TypeScript automatycznie zwiększy bezpieczeństwo?

Nie, samo „przepisanie na TS” bez zmiany nawyków i konfiguracji zazwyczaj jedynie porządkuje kod, ale nie adresuje sedna problemów bezpieczeństwa. Wielu zespołom udaje się utrwalić te same złe wzorce (np. brak walidacji danych, zaufanie do klienta) już w TS, tylko z adnotacjami typów.

Bez realnie rygorystycznych ustawień (np. strictNullChecks, noImplicitAny) i bez powiązania typów z modelami domenowymi i kontraktami API zysk bezpieczeństwa będzie ograniczony. TS to narzędzie, a nie magiczny upgrade poziomu ochrony.

TypeScript vs JavaScript na backendzie (Node.js) – co ma większe znaczenie dla bezpieczeństwa?

Na backendzie język pomaga głównie w integralności i stabilności: poprawnym modelowaniu danych domenowych, unikaniu pomyłek w parametrach funkcji bezpieczeństwa, pilnowaniu spójności kontraktów API. TypeScript ma tu przewagę, bo statyczne typy lepiej wymuszają konsekwencję w logice biznesowej.

Kluczowe obszary bezpieczeństwa backendu (autoryzacja, walidacja danych wejściowych, ochrona przed SQLi/NoSQLi, konfiguracja CORS, nagłówki bezpieczeństwa) i tak zależą od architektury, bibliotek oraz polityk zespołu. JS może być równie bezpieczny jak TS, jeśli cały „ekosystem bezpieczeństwa” jest dobrze zaprojektowany, a typowanie zastępują dokładne testy i analizy.

Jaki wpływ ma TypeScript na dostępność i stabilność aplikacji pod kątem bezpieczeństwa?

Awaria w krytycznym miejscu (np. podczas sprawdzania uprawnień) często kończy się „awaryjnym” kodem, który w praktyce poluzowuje zabezpieczenia lub ujawnia za dużo informacji o systemie. TypeScript, ograniczając błędy runtime wynikające z typów i nieprzewidzianych stanów, zmniejsza prawdopodobieństwo takich sytuacji.

Mniej niespodziewanych wyjątków to również mniejsza szansa, że użytkownik zobaczy stack trace z wrażliwymi szczegółami (ścieżki, nazwy serwisów, struktury tokenów), które mogą ułatwić dalsze ataki. To nie jest pełna strategia „bezpiecznego UX błędu”, ale wyraźnie upraszcza jej wdrożenie.

Czy TypeScript może pomóc w walidacji danych, czy i tak trzeba robić walidację runtime?

TypeScript waliduje typy wyłącznie podczas kompilacji; w momencie działania aplikacji wszystkie adnotacje typów znikają. Dane przychodzące z zewnątrz (API, formularze, inne usługi) i tak muszą być weryfikowane w runtime, bo ich rzeczywista struktura może nie mieć nic wspólnego z deklarowanym typem.

Sensowne podejście to połączenie TS z biblioteką do walidacji runtime (np. schematy, Zod, Yup, JOI) i wygenerowanie typów z tych schematów lub odwrotnie. Wtedy typy i walidacja są spójne, a ryzyko, że „kompilator swoje, a produkcja swoje”, wyraźnie spada.

Inne wpisy, które mogą Ci się spodobać: