Helmet.js
Advanced Ecosystem 🟢 JuniorDefinition
Middleware Express qui configure automatiquement une dizaine d'en-têtes de sécurité HTTP (CSP, HSTS, X-Frame-Options, etc.) avec des valeurs saines par défaut.
Analogie
Un casque de protection tout-en-un qui protège la tête sous tous les angles sans effort.
Exemple de code
import helmet from 'helmet';
app.use(helmet({
contentSecurityPolicy: {
directives: {
defaultSrc: ["'self'"],
scriptSrc: ["'self'", "'nonce-abc'"],
},
},
}));Cas d'usage
Appliquer les bonnes pratiques de sécurité HTTP en une seule ligne sur toute app Express.
Anti-pattern
Désactiver tous les modules Helmet pour résoudre un bug au lieu de configurer finement.