Helmet.js HTTP Security
Establece headers esenciales de seguridad HTTP con Helmet.js para proteger apps Express de vulnerabilidades web comunes.
Descripción General
Los headers establecidos por Helmet incluyen X-Content-Type-Options (previene sniffing MIME), X-Frame-Options (previene clickjacking), Strict-Transport-Security (fuerza HTTPS), X-XSS-Protection, Referrer-Policy y Content-Security-Policy entre otros. Cada header puede configurarse individualmente o deshabilitarse según las necesidades de tu aplicación.
Helmet sigue un enfoque seguro por defecto, habilitando las configuraciones más protectoras por defecto. Por ejemplo, establece CSP para solo permitir recursos del mismo origen, habilita HSTS con un max-age de un año y previene framing completamente. Puedes relajar selectivamente estos valores predeterminados para requisitos específicos como incrustar scripts de terceros o permitir que tu sitio sea enmarcado por dominios específicos.
¿Para Quién Es?
- Agregar headers de seguridad a una app Express con una línea
- Prevenir clickjacking con X-Frame-Options
- Forzar HTTPS con Strict-Transport-Security
- Configurar Referrer-Policy para protección de privacidad
Instalación
npm install helmet Configuración
import helmet from "helmet"
// Use all defaults (recommended)
app.use(helmet())
// Or customize specific headers
app.use(helmet({
contentSecurityPolicy: false, // configure separately
crossOriginEmbedderPolicy: false,
hsts: { maxAge: 31536000, includeSubDomains: true },
})) Explora herramientas de IA
Las mejores herramientas de IA que complementan tus habilidades
Lee artículos sobre IA y diseño
Consejos y tendencias en el mundo del diseño y la IA
Servidores Relacionados
Snyk Security Scan
Analiza dependencias y código en busca de vulnerabilidades conocidas y sugiere correcciones automáticas.
SonarQube Code Quality
Análisis integral de calidad de código para detectar patrones problemáticos, código duplicado y complejidad excesiva.
OWASP ZAP Security Testing
Escaneo automático de aplicaciones web para detectar las diez vulnerabilidades más comunes de OWASP.