1 artigo com esta tag
O Express é minimalista — ele quase não protege nada por padrão, então você adiciona as defesas. Esta é uma referência de trabalho: (1) um checklist de hardening priorizado (P0–P2), (2) orientação por área — cabeçalhos de segurança (helmet) + desabilitar x-powered-by, CVEs de dependências npm, validação de entrada e injeção (operador SQL/NoSQL), autenticação e autorização com escopo de dono, limitação de taxa e limites de tamanho, sessões/cookies/CSRF, SSRF, tratamento de erros em produção (sem exposição de stack), NODE_ENV, e (3) um checklist de autoverificação. Apenas defensivo — sem passos de ataque.