Seguridad con Helmet y npm audit

Clase 36 de 39 • Curso de Autenticación con Passport.js 2019

Resumen

En esta clase aprenderemos a ponerle seguridad a nuestra aplicación.

Helmet es un middleware que nos sirve para darle seguridad a las headers de nuestra aplicación.

Lo podremos utilizar de la siguiente manera con la configuración por defecto:

const express = require('express')
const helmet = require('helmet')

const app = express()

app.use(helmet())

También aprenderemos a utilizar npm audit para ver cuales son las vulnerabilidades de nuestra aplicación

Santiago Ellena

student•

Helmet es un middleware que le da más seguridad a nuestra API agregando pequeñas modificaciones muy importantes en los headers HTTP. . Este módulo nos provee de 11 de estas modificaciones a los headers, estas son:

contentSecurityPolicy: Establece el Content-Security-Policy encabezado que ayuda a mitigar los ataques de secuencias de comandos entre sitios, entre otras cosas.
dnsPrefetchControl: Establece el Cross-Origin-Embedder-Policy encabezado en require-corp.
expectCt: Establece el Expect-CTencabezado que ayuda a mitigar los certificados SSL emitidos incorrectamente.
frameguard: Establece el X-Frame-Options ncabezado para ayudarlo a mitigar los ataques de secuestro de clics . Este encabezado es reemplazado por la frame-ancestors directiva Política de seguridad de contenido, pero sigue siendo útil en navegadores antiguos.
hidePoweredBy: Elimina el X-Powered-By encabezado, que se establece de forma predeterminada en algunos marcos (como Express). Eliminar el encabezado ofrece beneficios de seguridad muy limitados y se elimina principalmente para ahorrar ancho de banda.
hsts: Establece el Strict-Transport-Security, encabezado que le dice a los navegadores que prefieran HTTPS sobre HTTP inseguro.
ieNoOpen: Establece el X-Download-Options encabezado, que es específico de Internet Explorer 8. Obliga a guardar las descargas potencialmente inseguras, lo que mitiga la ejecución de HTML en el contexto de su sitio.
noSniff: Establece el X-Content-Type-Options encabezado en nosniff. Esto mitiga el rastreo de tipo MIME que puede causar vulnerabilidades de seguridad.
permittedCrossDomainPolicies: Establece el X-Permitted-Cross-Domain-Policies encabezado, que indica a algunos clientes (principalmente productos de Adobe) la política de su dominio para cargar contenido entre dominios.
referrerPolicy: Establece el Referrer-Policy encabezado que controla qué información se establece en el Referer encabezado.
xssFilter: Deshabilita el filtro de secuencias de comandos entre sitios con errores de los navegadores configurando el X-XSS-Protection encabezado en 0. . Espero les sirva! Es todo sacado de la documentación, recomiendo profundizar en la documentación para entender mejor.

Maria Elizabeth Minero Alvarenga

student•

Helmet es un middleware que nos sirve para darle seguridad a las headers de nuestra aplicación.

MARTIN SERNA DIAZ

student•

NO, Helmet es un middleware que nos sirve para darle seguridad a las headers de nuestra aplicación.

Héctor Hugo Sandoval Marcelo

student•

Empece a utilizar Helmet desde la clase de Middlewares recomendados para express. Muy bien herramienta que protege los Headers de nuestras respuestas.

Naldo Duran

student•

✌

Jose Daniel Molina

student•

Es importante mantener nuestras dependencias actualizadas para evitar vulnerabilidades... Algo que aprendí para mejorar un poco la seguridad mediante los headers, es deshabilitar el x-powered-by que genera Express.

Karen Paola Diaz Duarte

student•

esto esta genial!!

Luis Fernando Méndez González

student•

Me adelanté como dos cursos a esta clase jajaja