16 de octubre de 2025Español

Explora patrones de tipos de TypeScript para el saneamiento de entradas y crea aplicaciones seguras y confiables. Evita vulnerabilidades como XSS y ataques de inyección.

Seguridad en TypeScript: Patrones de Tipos para Saneamiento de Entradas en Aplicaciones Robustas

En el mundo interconectado de hoy, construir aplicaciones web seguras y confiables es primordial. Con la creciente sofisticación de las ciberamenazas, los desarrolladores deben emplear medidas de seguridad robustas para proteger datos sensibles y prevenir ataques maliciosos. TypeScript, con su robusto sistema de tipado, proporciona herramientas poderosas para mejorar la seguridad de las aplicaciones, particularmente a través de patrones de tipos para el saneamiento de entradas. Esta guía completa explora varios patrones de tipos de TypeScript para el saneamiento de entradas, permitiéndole construir aplicaciones más seguras y resilientes.

Por qué el Saneamiento de Entradas es Crucial

El saneamiento de entradas es el proceso de limpiar o modificar datos suministrados por el usuario para evitar que causen daño a la aplicación o a sus usuarios. Los datos no confiables, ya sea de envíos de formularios, solicitudes de API o cualquier otra fuente externa, pueden introducir vulnerabilidades como:

Cross-Site Scripting (XSS): Los atacantes inyectan scripts maliciosos en páginas web vistas por otros usuarios.
Inyección SQL: Los atacantes insertan código SQL malicioso en consultas de bases de datos.
Inyección de Comandos: Los atacantes ejecutan comandos arbitrarios en el servidor.
Path Traversal: Los atacantes acceden a archivos o directorios no autorizados.

Un saneamiento de entradas efectivo mitiga estos riesgos asegurando que todos los datos procesados por la aplicación se ajusten a los formatos esperados y no contengan contenido dañino.

Aprovechando el Sistema de Tipos de TypeScript para el Saneamiento de Entradas

El sistema de tipos de TypeScript ofrece varias ventajas para implementar el saneamiento de entradas:

Análisis Estático: El compilador de TypeScript puede detectar posibles errores relacionados con tipos durante el desarrollo, antes del tiempo de ejecución.
Seguridad de Tipos: Aplica tipos de datos, reduciendo el riesgo de formatos de datos inesperados.
Claridad del Código: Mejora la legibilidad y mantenibilidad del código a través de declaraciones de tipo explícitas.
Soporte para Refactorización: Facilita la refactorización del código mientras se mantiene la seguridad de tipos.

Al aprovechar el sistema de tipos de TypeScript, los desarrolladores pueden crear mecanismos robustos de saneamiento de entradas que minimicen el riesgo de vulnerabilidades de seguridad.

Patrones Comunes de Tipos para Saneamiento de Entradas en TypeScript

1. Saneamiento de Cadenas de Texto (String Sanitization)

El saneamiento de cadenas de texto implica limpiar y validar entradas de tipo string para prevenir XSS y otros ataques de inyección. Aquí hay algunas técnicas comunes:

a. Escape de Entidades HTML

El escape de entidades HTML convierte caracteres potencialmente dañinos en sus entidades HTML correspondientes, evitando que sean interpretados como código HTML. Por ejemplo, < se convierte en <, y > se convierte en >.

Ejemplo:

            
function escapeHtml(str: string): string {
  const map: { [key: string]: string } = {
    '&': '&',
    '<': '<',
    '>': '>',
    '"': '"',
    "'": '''
  };

  return str.replace(/[&<>"']/g, (m) => map[m]);
}

const userInput: string = '';
const sanitizedInput: string = escapeHtml(userInput);
console.log(sanitizedInput); // Output: <script>alert("XSS");</script>

b. Validación con Expresiones Regulares

Las expresiones regulares se pueden usar para validar que una cadena de texto se ajusta a un formato específico, como una dirección de correo electrónico o un número de teléfono.

Ejemplo:

            
function isValidEmail(email: string): boolean {
  const emailRegex: RegExp = /^[\w-\.]+@([\w-]+\.)+[\w-]{2,4}$/;
  return emailRegex.test(email);
}

const email1: string = 'test@example.com';
const email2: string = 'invalid-email';

console.log(isValidEmail(email1)); // Output: true
console.log(isValidEmail(email2)); // Output: false

c. Alias de Tipos para Formatos de Cadenas Específicos

Los alias de tipos de TypeScript se pueden usar para definir formatos de cadenas específicos y aplicarlos en tiempo de compilación.

Ejemplo:

            
type Email = string & { readonly __email: unique symbol };

function createEmail(input: string): Email {
  if (!isValidEmail(input)) {
    throw new Error('Invalid email format');
  }
  return input as Email;
}

try {
  const validEmail: Email = createEmail('test@example.com');
  console.log(validEmail); // Output: test@example.com (with type Email)

  const invalidEmail = createEmail('invalid-email'); //Throws error
} catch (error) {
  console.error(error);
}

2. Saneamiento de Números (Number Sanitization)

El saneamiento de números implica validar que las entradas numéricas estén dentro de rangos aceptables y se ajusten a los formatos esperados.

a. Validación de Rango

Asegúrese de que un número caiga dentro de un rango específico.

Ejemplo:

            
function validateAge(age: number): number {
  if (age < 0 || age > 120) {
    throw new Error('Invalid age: Age must be between 0 and 120.');
  }
  return age;
}

try {
  const validAge: number = validateAge(30);
  console.log(validAge); // Output: 30

  const invalidAge: number = validateAge(150); // Throws error

} catch (error) {
  console.error(error);
}

b. Guardias de Tipo para Tipos Numéricos

Use guardias de tipo para asegurar que un valor es un número antes de realizar operaciones sobre él.

Ejemplo:

            
function isNumber(value: any): value is number {
  return typeof value === 'number' && isFinite(value);
}

function processNumber(value: any): number {
  if (!isNumber(value)) {
    throw new Error('Invalid input: Input must be a number.');
  }
  return value;
}

try {
  const validNumber: number = processNumber(42);
  console.log(validNumber); // Output: 42

  const invalidNumber: number = processNumber('not a number'); // Throws error
} catch (error) {
  console.error(error);
}

3. Saneamiento de Fechas (Date Sanitization)

El saneamiento de fechas implica validar que las entradas de fecha estén en el formato correcto y dentro de rangos aceptables.

a. Validación de Formato de Fecha

Use expresiones regulares o librerías de análisis de fechas para asegurar que una cadena de fecha se ajusta a un formato específico (p. ej., YYYY-MM-DD).

Ejemplo:

            
function isValidDate(dateString: string): boolean {
  const dateRegex: RegExp = /^\d{4}-\d{2}-\d{2}$/;
  if (!dateRegex.test(dateString)) {
    return false;
  }

  const date: Date = new Date(dateString);
  return !isNaN(date.getTime());
}

function parseDate(dateString: string): Date {
  if (!isValidDate(dateString)) {
    throw new Error('Invalid date format: Date must be in YYYY-MM-DD format.');
  }
  return new Date(dateString);
}

try {
  const validDate: Date = parseDate('2023-10-27');
  console.log(validDate); // Output: Fri Oct 27 2023 00:00:00 GMT+0000 (Coordinated Universal Time)

  const invalidDate: Date = parseDate('2023/10/27'); // Throws error
} catch (error) {
  console.error(error);
}

b. Validación de Rango de Fechas

Asegúrese de que una fecha caiga dentro de un rango específico, como una fecha de inicio y una fecha de fin.

Ejemplo:

            
function isDateWithinRange(date: Date, startDate: Date, endDate: Date): boolean {
  return date >= startDate && date <= endDate;
}

function validateDateRange(dateString: string, startDateString: string, endDateString: string): Date {
  const date: Date = parseDate(dateString);
  const startDate: Date = parseDate(startDateString);
  const endDate: Date = parseDate(endDateString);

  if (!isDateWithinRange(date, startDate, endDate)) {
    throw new Error('Invalid date: Date must be between the start and end dates.');
  }
  return date;
}

try {
  const validDate: Date = validateDateRange('2023-10-27', '2023-01-01', '2023-12-31');
  console.log(validDate); // Output: Fri Oct 27 2023 00:00:00 GMT+0000 (Coordinated Universal Time)

  const invalidDate: Date = validateDateRange('2024-01-01', '2023-01-01', '2023-12-31'); // Throws error
} catch (error) {
  console.error(error);
}

4. Saneamiento de Arrays (Array Sanitization)

El saneamiento de arrays implica validar los elementos dentro de un array para asegurar que cumplen criterios específicos.

a. Guardias de Tipo para Elementos de Array

Use guardias de tipo para asegurar que cada elemento en un array es del tipo esperado.

Ejemplo:

            
function isStringArray(arr: any[]): arr is string[] {
  return arr.every((item) => typeof item === 'string');
}

function processStringArray(arr: any[]): string[] {
  if (!isStringArray(arr)) {
    throw new Error('Invalid input: Array must contain only strings.');
  }
  return arr;
}

try {
  const validArray: string[] = processStringArray(['apple', 'banana', 'cherry']);
  console.log(validArray); // Output: [ 'apple', 'banana', 'cherry' ]

  const invalidArray: string[] = processStringArray(['apple', 123, 'cherry']); // Throws error
} catch (error) {
  console.error(error);
}

b. Saneamiento de Elementos de Array

Aplique técnicas de saneamiento a cada elemento en un array para prevenir ataques de inyección.

Ejemplo:

            
function sanitizeStringArray(arr: string[]): string[] {
  return arr.map(escapeHtml);
}

const inputArray: string[] = ['', 'normal text'];
const sanitizedArray: string[] = sanitizeStringArray(inputArray);
console.log(sanitizedArray);
// Output: [ '<script>alert("XSS");</script>', 'normal text' ]

5. Saneamiento de Objetos (Object Sanitization)

El saneamiento de objetos implica validar las propiedades de un objeto para asegurar que cumplen criterios específicos.

a. Asignaciones de Tipo para Propiedades de Objeto

Use asignaciones de tipo para aplicar los tipos de las propiedades de un objeto.

Ejemplo:

            
interface User {
  name: string;
  age: number;
  email: Email;
}

function validateUser(user: any): User {
  if (typeof user.name !== 'string') {
    throw new Error('Invalid user: Name must be a string.');
  }
  if (typeof user.age !== 'number') {
    throw new Error('Invalid user: Age must be a number.');
  }
  if (typeof user.email !== 'string' || !isValidEmail(user.email)) {
      throw new Error('Invalid user: Email must be a valid email address.');
  }

  return {
    name: user.name,
    age: user.age,
    email: createEmail(user.email)
  };
}

try {
  const validUser: User = validateUser({
    name: 'John Doe',
    age: 30,
    email: 'john.doe@example.com',
  });
  console.log(validUser);
  // Output: { name: 'John Doe', age: 30, email: [Email: john.doe@example.com] }

  const invalidUser: User = validateUser({
    name: 'John Doe',
    age: '30',
    email: 'invalid-email',
  }); // Throws error
} catch (error) {
  console.error(error);
}

b. Saneamiento de Propiedades de Objeto

Aplique técnicas de saneamiento a cada propiedad de un objeto para prevenir ataques de inyección.

Ejemplo:

            
interface Product {
  name: string;
  description: string;
  price: number;
}

function sanitizeProduct(product: Product): Product {
  return {
    name: escapeHtml(product.name),
    description: escapeHtml(product.description),
    price: product.price,
  };
}

const inputProduct: Product = {
  name: '',
  description: 'This is a product description with some HTML.',
  price: 99.99,
};

const sanitizedProduct: Product = sanitizeProduct(inputProduct);
console.log(sanitizedProduct);
// Output: { name: '<script>alert("XSS");</script>', description: 'This is a product description with some <b>HTML</b>.', price: 99.99 }

Mejores Prácticas para el Saneamiento de Entradas en TypeScript

Sanear temprano: Sanear los datos lo más cerca posible de la fuente de entrada.
Usar un enfoque de defensa en profundidad: Combinar el saneamiento de entradas con otras medidas de seguridad, como la codificación de salida y las consultas parametrizadas.
Mantener la lógica de saneamiento actualizada: Mantenerse informado sobre las últimas vulnerabilidades de seguridad y actualizar la lógica de saneamiento en consecuencia.
Probar la lógica de saneamiento: Probar a fondo la lógica de saneamiento para asegurar que previene eficazmente los ataques de inyección.
Utilizar librerías establecidas: Aprovechar librerías bien mantenidas y confiables para tareas de saneamiento comunes, en lugar de reinventar la rueda. Por ejemplo, considere usar una librería como validator.js.
Considerar la Localización: Al tratar con entradas de usuario de diferentes regiones, sea consciente de los diferentes conjuntos de caracteres y estándares de codificación (p. ej., UTF-8). Asegúrese de que su lógica de saneamiento maneje estas variaciones correctamente para evitar introducir vulnerabilidades relacionadas con problemas de codificación.

Ejemplos de Consideraciones de Entrada Globales

Al desarrollar aplicaciones para una audiencia global, es crucial considerar diversos formatos de entrada y convenciones culturales. Aquí hay algunos ejemplos:

Formatos de Fecha: Diferentes regiones usan diferentes formatos de fecha (p. ej., MM/DD/YYYY en EE. UU., DD/MM/YYYY en Europa). Asegúrese de que su aplicación pueda manejar múltiples formatos de fecha y proporcione una validación adecuada.
Formatos de Números: Diferentes regiones usan diferentes separadores para puntos decimales y miles (p. ej., 1,000.00 en EE. UU., 1.000,00 en Europa). Use librerías de análisis y formato apropiadas para manejar estas variaciones.
Símbolos de Moneda: Los símbolos de moneda varían entre países (p. ej., $, €, £). Use una librería de formato de moneda para mostrar los valores monetarios correctamente según la configuración regional del usuario.
Formatos de Dirección: Los formatos de dirección varían significativamente entre países. Proporcione campos de entrada flexibles y lógica de validación para acomodar diferentes estructuras de dirección.
Formatos de Nombres: Los formatos de nombres difieren entre culturas (p. ej., los nombres occidentales suelen tener un nombre de pila seguido de un apellido, mientras que algunas culturas asiáticas invierten el orden). Considere permitir a los usuarios especificar su orden de nombres preferido.

Conclusión

El saneamiento de entradas es un aspecto crítico de la construcción de aplicaciones TypeScript seguras y confiables. Al aprovechar el sistema de tipos de TypeScript e implementar patrones de tipos de saneamiento apropiados, los desarrolladores pueden reducir significativamente el riesgo de vulnerabilidades de seguridad como XSS y ataques de inyección. Recuerde sanear temprano, usar un enfoque de defensa en profundidad y mantenerse informado sobre las últimas amenazas de seguridad. Siguiendo estas mejores prácticas, puede construir aplicaciones más robustas y seguras que protejan a sus usuarios y sus datos. Al construir aplicaciones globales, siempre tenga en cuenta las convenciones culturales para asegurar una experiencia de usuario positiva.

Esta guía proporciona una base sólida para comprender e implementar el saneamiento de entradas en TypeScript. Sin embargo, la seguridad es un campo en constante evolución. Manténgase siempre actualizado sobre las últimas mejores prácticas y vulnerabilidades para proteger sus aplicaciones de manera efectiva.