1 artículo con esta etiqueta
Express es minimalista: casi no trae funciones de seguridad por defecto, así que las defensas son las que añade el desarrollador. Lo esencial: (1) cabeceras de seguridad (estilo helmet), (2) validación y saneamiento de la entrada, (3) autorización acotada al propietario, no solo autenticación, (4) limitación de tasa (fuerza bruta / DoS), (5) monitoreo de CVE de dependencias (npm) y parcheo rápido. Además, protección SSRF para las peticiones salientes de URL y secretos guardados en variables de entorno, fuera del código. La libertad de un framework mínimo viene con la responsabilidad de defender.