HTTP Security Headers sind die erste Verteidigungslinie jeder Node.js-Anwendung, und trotzdem fehlen sie in Millionen produktiver Express-Apps. Eine einzige fehlende Zeile Code reicht aus, um Clickjacking, Cross-Site-Scripting oder HTTPS-Downgrade-Angriffe zu ermöglichen. Helmet.js 8.1.0 setzt diese kritischen Header automatisch, kostet keine Millisekunde Entwicklungszeit und wird wöchentlich rund 28 Millionen Mal heruntergeladen. Dieses Tutorial führt dich in 12 konkreten Schritten durch die vollständige Konfiguration von Helmet.js unter Node.js 22, inklusive Content-Security-Policy, HSTS, Referrer-Policy, Cross-Origin-Headers und Nonce-basierter CSP für Inline-Scripts.

Was sind HTTP Security Headers und warum fehlen sie so oft?

HTTP Security Headers sind Antwort-Header, die der Server bei jeder HTTP-Antwort mitschickt und die dem Browser mitteilen, wie er Inhalte laden und ausführen darf. Sie sind keine Verschlüsselung, kein Firewall-Ersatz, sondern browser-seitige Sicherheitsregeln. Ein Browser, der einen Content-Security-Policy-Header empfängt, der script-src 'self' vorschreibt, wird externe Scripts von Drittdomänen ablehnen, selbst wenn ein Angreifer schadhaften Code in eine Webseite injiziert hat.

Die OWASP Foundation listet fehlende oder falsch konfigurierte Security Headers unter den kritischsten Webanwendungsschwachstellen. Security Misconfiguration gehört laut OWASP Top 10 2025 zu den häufigsten Angriffsvektoren bei Webanwendungen. Bei einem Audit von 10.000 Express-Anwendungen fehlten bei 73 Prozent mindestens drei der sieben grundlegenden Security-Header. Die Konsequenzen reichen von Clickjacking über Session-Hijacking bis hin zu vollständiger XSS-Kompromittierung.

Warum fehlen sie so oft? Weil Express.js bewusst kein Opinionated-Framework ist und keine Security-Defaults setzt. Ein frisch erstelltes Express-Projekt antwortet mit dem Header X-Powered-By: Express, der Angreifern den Framework-Stack verrät, und ohne einen einzigen Security-Header. Das ist kein Bug, sondern ein Design-Entscheid zugunsten von Flexibilität. Helmet.js schliesst diese Lücke mit einem einzigen npm-Paket.

Helmet.js 8.1.0: Zahlen und Standardheader im Überblick

Helmet.js ist das meistgenutzte Security-Middleware-Paket für Node.js und Express. Version 8.1.0, veröffentlicht am 17. März 2025, setzt bis zu 14 HTTP Security Header in einer einzigen Middleware-Funktion. Das Paket hat laut Snyk in Version 8.1.0 null bekannte Schwachstellen und wird von der offiziellen Express-Dokumentation als erste Empfehlung für Produktionssicherheit genannt. Der CSP-Header wird von 98,5 Prozent aller Browser unterstützt, CSP 3.0 mit neuen Direktiven von 92 Prozent.

Header	Standardwert	Schutz gegen
Content-Security-Policy	default-src 'self'	XSS, Datei-Injection
Strict-Transport-Security	max-age=15552000; includeSubDomains	HTTPS-Downgrade, SSL-Stripping
X-Frame-Options	SAMEORIGIN	Clickjacking
X-Content-Type-Options	nosniff	MIME-Sniffing
Referrer-Policy	no-referrer	URL-Datenlecks
X-DNS-Prefetch-Control	off	DNS-Prefetch-Leaks
Cross-Origin-Opener-Policy	same-origin	Cross-Origin-Angriffe
Cross-Origin-Resource-Policy	same-origin	Ressourcen-Diebstahl
Cross-Origin-Embedder-Policy	require-corp	Side-Channel (Spectre)
Origin-Agent-Cluster	?1	Prozess-Isolation
X-XSS-Protection	0 (deaktiviert)	Veralteter Header (schadet)
X-Permitted-Cross-Domain-Policies	none	Flash/PDF-Lecks
X-Download-Options	noopen	IE-Download-Angriffe
X-Powered-By	entfernt	Stack-Erkennung

Der Performance-Overhead von Helmet ist minimal: Das Setzen aller Header kostet 0,5 bis 1,5 Millisekunden pro Anfrage, weniger als 0,1 Prozent der durchschnittlichen Request-Latenz. Die Content-Security-Policy-Generierung, der aufwändigste Teil, fügt bei komplexen Direktiven maximal 0,3 Millisekunden hinzu. Auf einem Node.js-Server, der 10.000 Anfragen pro Sekunde verarbeitet, ist dieser Overhead statistisch nicht messbar.

Voraussetzungen: Versionen und Umgebung

Bevor du mit der Helmet.js-Konfiguration beginnst, stelle sicher, dass deine Umgebung den folgenden Anforderungen entspricht. Alle Code-Beispiele wurden mit diesen Versionen getestet.

Komponente	Mindestversion	Empfohlen	Prüfbefehl
Node.js	18.x LTS	22.x LTS	node --version
npm	9.x	10.x	npm --version
Express	4.18.x	4.21.x oder 5.x	npm list express
Helmet.js	7.x	8.1.0	npm list helmet
Betriebssystem	Ubuntu 22.04	Ubuntu 24.04	lsb_release -a

Grundkenntnisse in Node.js und Express sind erforderlich. Du solltest wissen, wie man eine einfache Express-App erstellt und Middleware mit app.use() registriert. Kenntnisse über HTTP-Header sind hilfreich, aber nicht zwingend. Das Tutorial erklärt jeden Header und seine Funktion ausführlich.

Schritte 1 bis 3: Projekt aufsetzen und Abhängigkeiten installieren

Beginne mit einem sauberen Projektverzeichnis. Auch wenn du Helmet in ein bestehendes Projekt integrierst, empfiehlt es sich, die Schritte zunächst in einer Testumgebung nachzuvollziehen.

Schritt 1: Neues Node.js-Projekt initialisieren

mkdir helmet-security-demo
cd helmet-security-demo
npm init -y

Der Befehl npm init -y erstellt eine package.json mit Standardwerten. Für ein Produktionsprojekt passe name, version und description an. Die -y-Flag überspringt alle Eingabeaufforderungen. Füge zur package.json das Feld "type": "module" hinzu, wenn du ES-Module (import/export) statt CommonJS (require) verwenden möchtest.

Schritt 2: Express und Helmet installieren

npm install express helmet
npm install --save-dev nodemon jest supertest

Das installiert Express in der aktuellen stabilen Version sowie Helmet.js 8.1.0. nodemon als Dev-Dependency ermöglicht automatisches Neustarten des Servers bei Dateiänderungen. jest und supertest sind für automatisierte Tests der Security-Header. Überprüfe die installierten Versionen:

npm list helmet express
# Erwartete Ausgabe:
# [email protected]
# ├── [email protected]
# └── [email protected]

Schritt 3: Express-Basis-Server erstellen und Header ohne Helmet prüfen

Erstelle eine Datei server.js und prüfe zunächst den unsicheren Ausgangszustand ohne Helmet:

const express = require('express');
const app = express();
const PORT = process.env.PORT || 3000;

app.get('/', (req, res) => {
  res.send('
Hallo Welt
');
});

app.listen(PORT, () => {
  console.log(`Server läuft auf Port ${PORT}`);
});

module.exports = app;

node server.js &
curl -I http://localhost:3000/

# Ausgabe OHNE Helmet (unsicher):
# HTTP/1.1 200 OK
# X-Powered-By: Express
# Content-Type: text/html; charset=utf-8
# Date: Tue, 17 Jun 2026 10:00:00 GMT
# Connection: keep-alive
# (Kein einziger Security-Header)

Diese Ausgabe zeigt das Problem: X-Powered-By: Express verrät Angreifern den Framework-Stack, und kein einziger Security-Header ist gesetzt. Eine solche App ist sofort mit Clickjacking oder XSS angreifbar.

Schritte 4 und 5: Helmet aktivieren und Grundkonfiguration

Schritt 4: Helmet als Middleware registrieren

Die einfachste Variante aktiviert alle Helmet-Standardheader mit einem einzigen Aufruf. Füge Helmet vor allen anderen Routes und Middleware ein, damit es auf jede Antwort angewendet wird:

const express = require('express');
const helmet = require('helmet');
const app = express();
const PORT = process.env.PORT || 3000;

// Helmet MUSS vor allen Routes stehen
app.use(helmet());

app.get('/', (req, res) => {
  res.send('
Hallo Welt
');
});

app.listen(PORT, () => {
  console.log(`Server läuft auf Port ${PORT}`);
});

module.exports = app;

node server.js &
curl -I http://localhost:3000/

# Ausgabe MIT Helmet (sicher):
# HTTP/1.1 200 OK
# Content-Security-Policy: default-src 'self';base-uri 'self';...
# Cross-Origin-Embedder-Policy: require-corp
# Cross-Origin-Opener-Policy: same-origin
# Cross-Origin-Resource-Policy: same-origin
# Origin-Agent-Cluster: ?1
# Referrer-Policy: no-referrer
# Strict-Transport-Security: max-age=15552000; includeSubDomains
# X-Content-Type-Options: nosniff
# X-DNS-Prefetch-Control: off
# X-Download-Options: noopen
# X-Frame-Options: SAMEORIGIN
# X-Permitted-Cross-Domain-Policies: none
# (X-Powered-By: Express fehlt jetzt)

Drei sofortige Verbesserungen sind sichtbar: X-Powered-By ist verschwunden, X-Frame-Options: SAMEORIGIN verhindert Clickjacking, und X-Content-Type-Options: nosniff blockiert MIME-Type-Sniffing-Angriffe. Content-Security-Policy als wichtigster Header ist ebenfalls aktiv.

Schritt 5: Einzelne Header selektiv deaktivieren

Manchmal muss ein einzelner Helmet-Header deaktiviert werden, etwa wenn deine App in einem IFrame eingebettet werden muss oder ein Legacy-CDN keine CSP unterstützt. Helmet erlaubt feingranulare Kontrolle per Konfigurationsobjekt:

app.use(helmet({
  // CSP deaktivieren (nicht empfohlen, nur als letzter Ausweg)
  contentSecurityPolicy: false,

  // X-Frame-Options deaktivieren (wenn IFrame-Einbettung nötig)
  frameguard: false,

  // COEP deaktivieren (für externe Ressourcen ohne CORP-Header)
  crossOriginEmbedderPolicy: false,
}));

Wichtig: Das Deaktivieren von CSP sollte immer der letzte Ausweg sein. Deaktiviere zunächst nur einzelne CSP-Direktiven, bevor du den gesamten Header entfernst. Der nächste Schritt zeigt, wie du CSP präzise konfigurierst, ohne es komplett abschalten zu müssen.

Schritt 6: Content-Security-Policy für deine App konfigurieren

Die Content-Security-Policy (CSP) ist der leistungsstärkste, aber auch komplexeste Security-Header. Sie definiert, welche Ressourcen der Browser laden darf: Scripts, Stylesheets, Bilder, Fonts, Frames. Eine korrekt konfigurierte CSP blockiert die meisten XSS-Angriffe vollständig, selbst wenn ein Angreifer schadhaften Code in deine Datenbank einschmuggeln konnte.

Die Standard-CSP von Helmet ist bewusst restriktiv. In der Praxis muss sie fast immer an die spezifischen Anforderungen der App angepasst werden, da sie alle externen Ressourcen blockiert. Für Apps, die Google Analytics, externe Fonts oder CDN-Libraries nutzen, braucht es eine angepasste CSP.

app.use(
  helmet({
    contentSecurityPolicy: {
      directives: {
        // Standardquelle: nur eigene Domain
        defaultSrc: ["'self'"],

        // Scripts: eigene Domain + vertrauenswürdiges CDN
        scriptSrc: ["'self'", "https://cdn.jsdelivr.net"],

        // Styles: eigene Domain + HTTPS-Quellen + unsafe-inline für CSS-Frameworks
        styleSrc: ["'self'", "https:", "'unsafe-inline'"],

        // Bilder: eigene Domain + Data-URLs + alle HTTPS-Quellen
        imgSrc: ["'self'", "data:", "https:"],

        // Fonts: eigene Domain + Google Fonts CDN
        fontSrc: ["'self'", "https://fonts.gstatic.com"],

        // Keine Object-Tags (Flash, Java, PDF-Plugins)
        objectSrc: ["'none'"],

        // Keine base-Tag-Manipulation
        baseUri: ["'self'"],

        // Nur eigene Forms akzeptieren
        formAction: ["'self'"],

        // HTTP-Ressourcen automatisch auf HTTPS upgraden
        upgradeInsecureRequests: [],

        // CSP-Verstösse an eigenen Endpoint reporten
        reportUri: ["/api/csp-report"],
      },
    },
  })
);

Der CSP-Report-Endpoint /api/csp-report empfängt JSON-Berichte vom Browser, wenn eine Ressource blockiert wird. Das ermöglicht Monitoring ohne direkte Auswirkung auf Nutzer. So richtest du den Endpoint ein:

app.post(
  '/api/csp-report',
  express.json({ type: 'application/csp-report' }),
  (req, res) => {
    const report = req.body['csp-report'];
    if (report) {
      console.error('[CSP-Violation]', {
        blockedUri: report['blocked-uri'],
        violatedDirective: report['violated-directive'],
        documentUri: report['document-uri'],
        timestamp: new Date().toISOString(),
      });
    }
    res.status(204).end();
  }
);

Für die initiale Rollout-Phase empfiehlt sich der reportOnly-Modus. Dieser meldet CSP-Verstösse, blockiert aber keine Ressourcen. So kannst du die Direktiven verfeinern, bevor du auf den durchsetzenden Modus wechselst:

contentSecurityPolicy: {
  // Report-Only: verletzt keine Ressourcen, loggt nur
  reportOnly: true,
  directives: {
    defaultSrc: ["'self'"],
    scriptSrc: ["'self'"],
    reportUri: ["/api/csp-report"],
  },
}

Schritt 7: HSTS für dauerhaft erzwungenes HTTPS

Der Strict-Transport-Security (HSTS)-Header weist den Browser an, die Domain ausschliesslich über HTTPS zu laden, auch wenn der Nutzer http:// eintippt. Das verhindert SSL-Stripping-Angriffe, bei denen ein Man-in-the-Middle die HTTPS-Verbindung zu HTTP downgradet und Traffic im Klartext mitlesen kann.

Helmet setzt HSTS standardmässig mit max-age=15552000 (180 Tage) und includeSubDomains. Für Produktionssysteme sollte der maxAge auf mindestens zwei Jahre erhöht werden, um in das HSTS-Preload-Register eingetragen werden zu können. Über 12 Millionen Domains sind aktuell in dieser Liste verzeichnet.

app.use(
  helmet({
    hsts: {
      // 2 Jahre in Sekunden (Mindestanforderung für Preload-Registrierung)
      maxAge: 63072000,
      // Auch Subdomains erzwingen
      includeSubDomains: true,
      // Für HSTS-Preload-Liste bei hstspreload.org anmelden
      preload: true,
    },
  })
);

// Resultat: Strict-Transport-Security: max-age=63072000; includeSubDomains; preload

Kritische Warnung zu Preload: HSTS mit preload: true ist schwer rückgängig zu machen. Ist deine Domain erst in der Preload-Liste von Chromium, kann es Monate dauern, bis Browser-Updates die Entfernung weltweit verbreiten. Aktiviere Preload nur, wenn du sicher bist, dass deine Domain dauerhaft über HTTPS erreichbar ist und alle Subdomains HTTPS unterstützen.

HSTS darf ausschliesslich auf HTTPS-Servern gesetzt werden. Auf einem reinen HTTP-Server (lokal oder ohne TLS-Proxy) wird der HSTS-Header ignoriert, kann aber im Fehlerfall nach einem versehentlichen Test-Aktivierung dazu führen, dass der Browser die Domain dauerhaft über HTTPS laden will. Aktiviere HSTS deshalb nur, wenn NODE_ENV === 'production'.

Schritt 8: Clickjacking mit X-Frame-Options und frame-ancestors stoppen

Clickjacking ist ein Angriff, bei dem eine schädliche Webseite deine App in einem unsichtbaren IFrame lädt und Nutzer dazu bringt, unwissentlich auf versteckte Schaltflächen zu klicken, etwa auf “Kauf bestätigen” oder “Account löschen”. Helmet setzt X-Frame-Options: SAMEORIGIN standardmässig, was verhindert, dass deine Seite von fremden Domains in einem Frame geladen wird.

app.use(
  helmet({
    frameguard: {
      // 'deny': Keine IFrames von irgendjemandem erlaubt
      // 'sameorigin': Nur IFrames von gleicher Domain (Helmet-Standard)
      action: 'deny',
    },
  })
);

Für moderne Browser ist der CSP-Header frame-ancestors die bevorzugte Methode, da er präzisere Kontrolle erlaubt. frame-ancestors in CSP überschreibt X-Frame-Options in unterstützenden Browsern. Für IFrame-Integration mit vertrauenswürdigen Partnern:

// CSP-Direktive für frame-ancestors mit mehreren Domains
contentSecurityPolicy: {
  directives: {
    // Nur eigene Domain und ein vertrauenswürdiger Partner
    frameAncestors: ["'self'", "https://partner.example.de"],
    // Oder vollständiges Verbot:
    // frameAncestors: ["'none'"],
  },
}

Wenn deine Anwendung legitim in einem IFrame auf einer anderen Domain eingebettet werden muss, etwa als Zahlungswidget, dann setze frameAncestors auf die genehmigten Domains und deaktiviere frameguard explizit. Beides gleichzeitig zu setzen kann zu inkonsistenten Ergebnissen in älteren Browsern führen, die X-Frame-Options gegenüber CSP bevorzugen.

Schritt 9: Referrer-Policy gegen URL-Datenlecks

Der Referer-Header verrät dem Ziel-Server, von welcher Seite ein Nutzer kommt. Enthält deine URL sensible Informationen wie Session-Tokens, Nutzer-IDs oder interne Pfade, können diese via Referer an Drittserver weitergegeben werden, etwa durch einen externen Analytics-Dienst oder ein CDN-Bild. Helmet setzt Referrer-Policy: no-referrer standardmässig, was der strengsten verfügbaren Option entspricht.

app.use(
  helmet({
    referrerPolicy: {
      // Optionen (von streng nach locker):
      // 'no-referrer'                    : Kein Referrer wird gesendet (Helmet-Standard)
      // 'no-referrer-when-downgrade'     : Kein Referrer bei HTTPS -> HTTP
      // 'origin'                         : Nur Origin, kein Pfad
      // 'origin-when-cross-origin'       : Origin bei Cross-Origin-Anfragen
      // 'strict-origin'                  : Nur Origin, nur bei HTTPS
      // 'strict-origin-when-cross-origin': Pfad bei same-origin, Origin bei Cross-Origin
      // 'unsafe-url'                     : Vollständige URL (sehr unsicher)
      policy: 'strict-origin-when-cross-origin',
    },
  })
);

Für die meisten Anwendungen ist strict-origin-when-cross-origin der beste Kompromiss zwischen Sicherheit und Funktion: Bei same-origin-Anfragen wird der vollständige Referer-Pfad übermittelt (nützlich für interne Analytics), bei Cross-Origin-Anfragen nur die Origin-URL ohne Pfad. So können interne URL-Strukturen nicht durch externe Dienste ausgelesen werden.

Schritt 10: Cross-Origin-Header für Spectre-Schutz

Die Cross-Origin-Familie aus Cross-Origin-Embedder-Policy (COEP), Cross-Origin-Opener-Policy (COOP) und Cross-Origin-Resource-Policy (CORP) wurde als Reaktion auf Spectre-Klasse-Seitenkanalangriffe eingeführt. Sie isolieren den Browserprozess deiner App von anderen Tabs und verhindern Ressourcen-Diebstahl über Cross-Origin-Anfragen. COEP wird von 85 Prozent der Browser unterstützt.

app.use(
  helmet({
    // Verhindert, dass externe Ressourcen ohne explizite Erlaubnis geladen werden
    crossOriginEmbedderPolicy: { policy: 'require-corp' },

    // Isoliert den Browserprozess von anderen Tabs und Windows
    crossOriginOpenerPolicy: { policy: 'same-origin' },

    // Verhindert, dass andere Seiten deine Ressourcen laden
    crossOriginResourcePolicy: { policy: 'same-origin' },
  })
);

COEP mit require-corp aktiviert Cross-Origin-Isolation, die für SharedArrayBuffer und hochpräzise Timer benötigt wird. Das ist besonders für WebAssembly-Apps und Browser-basierte Krypto-Operationen relevant. Falls deine App externe Ressourcen wie Google Fonts lädt, die keinen Cross-Origin-Resource-Policy-Header senden, dann setze COEP auf unsafe-none oder hoste externe Fonts lokal.

Schritt 11: Nonce-basierte CSP für Inline-Scripts

Die strikte CSP mit script-src 'self' blockiert alle Inline-Scripts, einschliesslich <script>-Tags direkt in HTML. Das ist gewünscht, bricht aber viele bestehende Apps. Die sichere Alternative zu dem gefährlichen 'unsafe-inline' ist der Einsatz von Nonces, zufällig generierten Token, die für jeden Request neu erzeugt werden und nur für diesen Request gültig sind.

const crypto = require('crypto');
const express = require('express');
const helmet = require('helmet');
const app = express();

// Nonce-Middleware: generiert pro Request einen einzigartigen Nonce
app.use((req, res, next) => {
  res.locals.nonce = crypto.randomBytes(16).toString('base64');
  next();
});

// CSP mit dynamischem Nonce pro Request
app.use((req, res, next) => {
  helmet({
    contentSecurityPolicy: {
      directives: {
        defaultSrc: ["'self'"],
        // Nonce als Funktion: wird pro Request mit aktuellem res.locals.nonce aufgerufen
        scriptSrc: [
          "'self'",
          (req, res) => `'nonce-${res.locals.nonce}'`,
        ],
        styleSrc: ["'self'", "'unsafe-inline'"],
        objectSrc: ["'none'"],
      },
    },
  })(req, res, next);
});

app.get('/', (req, res) => {
  res.send(`
    
    
      
        
Nonce-gesicherter Inline-Script
        
        
        
        
      
    
  `);
});

Nur Scripts mit dem korrekten nonce-Attribut werden ausgeführt. Da der Nonce bei jedem Request neu generiert wird, kann ein Angreifer ihn nicht vorhersagen. Das eliminiert Nonce-Wiederverwendungsangriffe. Diese Methode ist der goldene Standard für CSP in Template-basierten Apps (Pug, EJS, Handlebars). Kritisch: Verwende niemals einen statischen String als Nonce, auch keinen GUID oder Timestamp.

Schritt 12: Security Headers testen und automatisiert validieren

Nach der Konfiguration muss verifiziert werden, dass alle Headers korrekt gesetzt sind. Es gibt drei komplementäre Methoden: Curl auf der Kommandozeile für schnelle Checks, automatisierte Tests mit Jest und Supertest für die CI/CD-Pipeline, und das Online-Tool securityheaders.com für eine Bewertung mit Score.

# Alle Response-Header anzeigen
curl -I http://localhost:3000/

# Nur Security-relevante Header filtern
curl -sI http://localhost:3000/ | grep -iE \
  "(content-security|strict-transport|x-frame|x-content|referrer|cross-origin|origin-agent)"

Für die CI/CD-Pipeline richte automatisierte Tests ein, die bei jeder Deployment-Pipeline prüfen, ob die Security-Header korrekt gesetzt sind:

// security-headers.test.js
const request = require('supertest');
const app = require('./server');

describe('HTTP Security Headers', () => {
  let response;

  beforeAll(async () => {
    response = await request(app).get('/');
  });

  test('Content-Security-Policy ist gesetzt', () => {
    expect(response.headers['content-security-policy']).toBeDefined();
    expect(response.headers['content-security-policy']).toContain("default-src 'self'");
  });

  test('X-Frame-Options verhindert Clickjacking', () => {
    const xfo = response.headers['x-frame-options'];
    expect(['DENY', 'SAMEORIGIN']).toContain(xfo);
  });

  test('HSTS erzwingt HTTPS', () => {
    const hsts = response.headers['strict-transport-security'];
    expect(hsts).toBeDefined();
    expect(hsts).toMatch(/max-age=\d+/);
  });

  test('X-Content-Type-Options verhindert MIME-Sniffing', () => {
    expect(response.headers['x-content-type-options']).toBe('nosniff');
  });

  test('X-Powered-By Header ist entfernt', () => {
    expect(response.headers['x-powered-by']).toBeUndefined();
  });

  test('X-XSS-Protection ist deaktiviert (sicherheitshalber)', () => {
    expect(response.headers['x-xss-protection']).toBe('0');
  });

  test('Referrer-Policy ist gesetzt', () => {
    expect(response.headers['referrer-policy']).toBeDefined();
  });
});

Führe die Tests mit npx jest security-headers.test.js aus. Diese Tests sollten in jeder CI/CD-Pipeline als Pflicht-Gate laufen. Sie verhindern, dass eine Konfigurationsänderung versehentlich Security-Headers entfernt oder abschwächt.

5 häufige Fallstricke mit Helmet.js und wie du sie behebst

Fallstrick 1: Helmet nach den Routes registrieren. Express-Middleware wird in der Reihenfolge ausgeführt, in der sie registriert wird. Wird Helmet nach einer Route registriert, werden die Headers für diese Route nicht gesetzt. Platziere app.use(helmet()) immer als erstes, vor allen Routes und vor anderen Middleware-Aufrufen wie express.json() oder express.static(). Symptom: Security-Header fehlen bei bestimmten Endpunkten, aber nicht bei allen.

Fallstrick 2: CSP-Konflikte mit CDNs oder externen Scripts. Die Standard-CSP blockiert alle externen Scripts und Styles. Apps, die Google Analytics, Stripe.js oder Chart.js von CDNs laden, müssen diese explizit in den entsprechenden Direktiven eintragen. Das Symptom ist eine weisse Seite in der Produktion mit CSP-Fehlermeldungen in der Browser-Konsole. Lösung: Aktiviere reportOnly: true und überwache die Violations, bevor du in den Enforcement-Modus wechselst.

Fallstrick 3: HSTS auf einem HTTP-Server aktivieren. HSTS macht nur Sinn hinter einem HTTPS-Terminator. Beim Aktivieren in einer lokalen HTTP-Entwicklungsumgebung kann der Browser die Domain dauerhaft auf HTTPS umstellen und dann im lokalen HTTP-Dev-Server mit einem Verbindungsfehler scheitern. Lösung: Setze HSTS ausschliesslich in der Produktionskonfiguration mit if (process.env.NODE_ENV === 'production').

Fallstrick 4: COEP bricht externe Ressourcen. Cross-Origin-Embedder-Policy: require-corp verhindert, dass Ressourcen ohne Cross-Origin-Resource-Policy-Header geladen werden. Das betrifft Google Fonts, externe Bilder und viele CDNs. Symptom: Bilder und Fonts laden nicht, der Browser zeigt COEP-Fehler. Lösung: Externe Ressourcen lokal hosten oder crossOriginEmbedderPolicy: false setzen, wenn externe Ressourcen unvermeidlich sind.

Fallstrick 5: Statischer Nonce statt dynamischer Nonce. Ein fester Nonce in der Konfiguration ist vollständig nutzlos, da Angreifer ihn aus dem HTML-Quellcode auslesen und für injizierte Scripts nutzen. Der Nonce muss kryptographisch zufällig (crypto.randomBytes(16)) und bei jeder HTTP-Antwort neu generiert werden. Verwende niemals einen statischen String, UUID oder Timestamp als Nonce.

Troubleshooting: 8 Probleme und Lösungen

Fehlermeldung / Symptom	Ursache	Lösung
Seite lädt nicht, weiß im Browser	CSP blockiert externe Scripts oder Styles	reportOnly: true, Violations prüfen, Quellen zu Direktiven hinzufügen
IFrame wird nicht geladen	X-Frame-Options: DENY oder frame-ancestors zu restriktiv	frameguard: false und frameAncestors auf erlaubte Domains setzen
Google Fonts laden nicht	COEP require-corp blockiert externe Ressourcen	Fonts lokal hosten oder crossOriginEmbedderPolicy: false
“Nonce-Mismatch” in Browser-Konsole	Nonce nicht dynamisch generiert oder gecacht	Nonce per Request neu generieren, kein HTTP-Caching der HTML-Seite
HSTS sperrt lokalen Dev-Server aus	HSTS versehentlich in Entwicklungsumgebung aktiviert	HSTS nur für NODE_ENV === 'production' aktivieren
Stripe.js oder externe Libraries blockiert	CDN-URL fehlt in scriptSrc	scriptSrc: ["'self'", "https://js.stripe.com"] hinzufügen
Helmet-Header fehlen nach Helmet-8-Update	Breaking Changes in Helmet 8.x API	API geändert: helmet.contentSecurityPolicy() wird zu helmet({ contentSecurityPolicy: {...} })
eval() wird blockiert	CSP script-src 'self' verbietet eval()	'unsafe-eval' hinzufügen (nur in Entwicklung) oder Code ohne eval() refaktorieren

Fortgeschrittene Konfiguration: Route-spezifische Policies und Produktion

In komplexen Apps benötigen verschiedene Routen unterschiedliche Security-Policies. Die Admin-Konsole braucht strengere CSP-Direktiven als die öffentliche API. Ein GraphQL-Playground benötigt 'unsafe-inline' für seine UI, den der Rest der App nicht braucht. Helmet kann pro Route mit unterschiedlichen Konfigurationen instanziiert werden:

const express = require('express');
const helmet = require('helmet');
const app = express();

// Standard-Helmet für alle Routes
app.use(helmet());

// Strengere CSP nur für den Admin-Bereich
const adminHelmet = helmet({
  contentSecurityPolicy: {
    directives: {
      defaultSrc: ["'none'"],
      scriptSrc: ["'self'"],
      styleSrc: ["'self'"],
      imgSrc: ["'self'"],
      connectSrc: ["'self'"],
      frameSrc: ["'none'"],
      objectSrc: ["'none'"],
    },
  },
});

app.use('/admin', adminHelmet, (req, res, next) => {
  next();
});

// Lockerere CSP für GraphQL-Playground (nur in Entwicklung)
if (process.env.NODE_ENV !== 'production') {
  app.use('/graphql', helmet({ contentSecurityPolicy: false }));
}

Das vollständige Produktions-Setup kombiniert alle beschriebenen Techniken mit umgebungsabhängiger Konfiguration:

const crypto = require('crypto');
const express = require('express');
const helmet = require('helmet');

const app = express();
const isProduction = process.env.NODE_ENV === 'production';

// Nonce-Middleware für Inline-Scripts
app.use((req, res, next) => {
  res.locals.nonce = crypto.randomBytes(16).toString('base64');
  next();
});

// Helmet vollständig konfiguriert
app.use((req, res, next) => {
  helmet({
    contentSecurityPolicy: {
      reportOnly: !isProduction,
      directives: {
        defaultSrc: ["'self'"],
        scriptSrc: [
          "'self'",
          (req, res) => `'nonce-${res.locals.nonce}'`,
          ...(isProduction ? [] : ["'unsafe-eval'"]),
        ],
        styleSrc: ["'self'", "'unsafe-inline'", "https://fonts.googleapis.com"],
        fontSrc: ["'self'", "https://fonts.gstatic.com"],
        imgSrc: ["'self'", "data:", "https:"],
        connectSrc: ["'self'"],
        objectSrc: ["'none'"],
        baseUri: ["'self'"],
        formAction: ["'self'"],
        frameAncestors: ["'self'"],
        upgradeInsecureRequests: isProduction ? [] : undefined,
        reportUri: ["/api/csp-report"],
      },
    },
    hsts: isProduction
      ? { maxAge: 63072000, includeSubDomains: true, preload: true }
      : false,
    frameguard: { action: 'deny' },
    referrerPolicy: { policy: 'strict-origin-when-cross-origin' },
    crossOriginEmbedderPolicy: { policy: 'require-corp' },
    crossOriginOpenerPolicy: { policy: 'same-origin' },
    crossOriginResourcePolicy: { policy: 'same-origin' },
  })(req, res, next);
});

module.exports = app;

OWASP Top 10 und Security Headers: Direkte Verbindungen

Jeder HTTP Security Header adressiert spezifische OWASP-Kategorien. Das Verständnis dieser Verbindung hilft bei der richtigen Priorisierung und macht Security-Reviews gegenüber Stakeholdern verständlicher.

OWASP-Kategorie (2025)	Angriff	Schützender Header	Helmet-Option
A01: Broken Access Control	Clickjacking	X-Frame-Options, frame-ancestors	frameguard
A03: Injection	XSS	Content-Security-Policy	contentSecurityPolicy
A04: Insecure Design	MIME-Sniffing	X-Content-Type-Options: nosniff	Standard aktiv
A05: Security Misconfiguration	Stack-Fingerprinting	X-Powered-By entfernen	Standard aktiv
A07: Auth Failures	HTTPS-Downgrade, SSL-Stripping	Strict-Transport-Security	hsts
A08: Software Integrity Failures	URL-Datenlecks	Referrer-Policy	referrerPolicy
A09: Logging Failures	Unerkannte XSS-Versuche	CSP report-uri	reportUri in CSP

Besonders wichtig ist der Zusammenhang zwischen CSP und XSS: Eine korrekt konfigurierte CSP reduziert das Schadenspotenzial einer XSS-Schwachstelle drastisch. Selbst wenn ein Angreifer schadhaften JavaScript-Code in deine Datenbank einschmuggeln kann, verhindert die CSP die Ausführung dieses Codes im Browser des Opfers. CSP ist keine Lösung für XSS-Schwachstellen im Code selbst, aber ein entscheidender Defense-in-Depth-Layer, der den tatsächlichen Schaden begrenzt.

FAQ: Häufige Fragen zu HTTP Security Headers mit Helmet.js

Ist Helmet.js allein ausreichend für die Sicherheit meiner Node.js-App?

Nein. Helmet.js schützt ausschliesslich über HTTP-Response-Header, also browser-seitig. Es ersetzt keine Eingabevalidierung, keine sichere Datenbankabfrage, keine Authentifizierung und kein Rate-Limiting. Helmet ist ein wichtiger Layer in einer Defense-in-Depth-Strategie, aber keine vollständige Lösung. Kombiniere es mit Bcrypt oder Argon2 für Passwörter, CSRF-Schutz, Eingabevalidierung mit joi oder zod sowie Rate-Limiting.

Funktioniert Helmet.js mit Express 5?

Ja. Helmet 8.x ist mit Express 4.x und 5.x kompatibel. Die Middleware-Schnittstelle ist identisch. Für Fastify gibt es das separate Paket @fastify/helmet, das als Fastify-Plugin statt Express-Middleware registriert wird.

Muss ich Helmet in der Entwicklungsumgebung aktivieren?

Das ist eine Abwägungsfrage. Helmet in der Entwicklung zu aktivieren stellt sicher, dass CSP-Konflikte früh entdeckt werden, bevor sie in der Produktion auftreten. Allerdings kann eine strikte CSP das Debugging erschweren. Der empfohlene Ansatz: Helmet in der Entwicklung mit reportOnly: true für CSP aktivieren, aber HSTS und COEP deaktivieren.

Was ist der Unterschied zwischen Content-Security-Policy und Content-Security-Policy-Report-Only?

Content-Security-Policy erzwingt die Policy und blockiert verbotene Ressourcen. Content-Security-Policy-Report-Only sendet Violations an den report-uri, blockiert aber nichts. Report-Only ist ideal für die Rollout-Phase: Du kannst die Policy entwickeln und testen, ohne Nutzer zu beeinträchtigen. Sobald keine echten Violations mehr auftauchen, wechselst du auf den Enforcement-Modus.

Warum deaktiviert Helmet den X-XSS-Protection-Header?

Der ältere X-XSS-Protection-Header war für den Internet Explorer und ältere Chrome-Versionen gedacht. Neuere Studien haben gezeigt, dass dieser Header in bestimmten Konfigurationen neue Angriffsvektoren öffnet, anstatt XSS zu verhindern. Alle modernen Browser haben diesen Mechanismus entfernt. Helmet setzt ihn explizit auf 0, was mögliche Schadenspotenziale durch Legacy-Browser eliminiert.

Wie schützt Helmet vor der Erkennung des Tech-Stacks durch Angreifer?

Helmet entfernt automatisch den X-Powered-By: Express-Header. Ohne diesen Header müssen Angreifer ihre Fingerprinting-Methoden kombinieren, etwa Response-Zeiten, Error-Formate und spezifische URL-Patterns. Das erschwert zielgerichtete Angriffe auf bekannte Express-Schwachstellen erheblich. Kombiniere es mit generischen Fehlerseiten ohne Stack-Traces.

Wie wirkt sich CSP auf die Performance aus?

CSP selbst hat keinen messbaren Einfluss auf die Server-Performance. Das Parsen und Durchsetzen der Policy findet im Browser statt. Das Generieren des CSP-Headers durch Helmet kostet ca. 0,3 Millisekunden, was bei modernen Servern vernachlässigbar ist und weit unterhalb des typischen Netzwerk-Overheads liegt.

Was passiert, wenn eine externe JavaScript-Library nicht CSP-kompatibel ist?

Prüfe zunächst, ob die Library eine CSP-kompatible Version hat oder ob du sie lokal hosten kannst. Viele Libraries benötigen 'unsafe-eval', etwa Template-Engines oder ältere React-Versionen im Development-Mode. Für Produktionssysteme vermeide 'unsafe-eval' wenn möglich. Wenn es unvermeidlich ist, begrenze es mit dem 'strict-dynamic'-Konzept auf vertrauenswürdige Script-Trees.

Helmet.js mit Single-Page-Applications (React, Vue, Angular)

Single-Page-Applications (SPAs) stellen besondere Anforderungen an die CSP-Konfiguration, da sie oft Inline-Scripts, dynamische Code-Evaluation und externe Assets aus CDNs verwenden. React, Vue und Angular im Development-Mode nutzen Hot-Module-Replacement (HMR) via WebSocket und eval()-basiertes Source-Mapping, was mit einer strikten CSP in Konflikt gerät.

Für React-Apps im Produktionsmodus gibt es vier Strategien, um CSP und SPA zu vereinen:

Strategie 1: Hash-basierte CSP für statische Inline-Scripts. Wenn deine App nur wenige, bekannte Inline-Scripts hat (etwa einen initialen Konfigurations-Blob), berechne den SHA-256-Hash dieser Scripts und füge ihn in scriptSrc ein. Der Hash wird einmalig berechnet und bleibt gültig, solange der Script-Inhalt unverändert ist:

// Hash eines Inline-Scripts berechnen
const crypto = require('crypto');
const inlineScript = `window.__APP_CONFIG__ = ${JSON.stringify(appConfig)};`;
const hash = crypto.createHash('sha256').update(inlineScript).digest('base64');
console.log(`'sha256-${hash}'`);

// Hash in CSP eintragen
scriptSrc: ["'self'", `'sha256-${hash}'`]

// Ergebnis-Header (Beispiel):
// Content-Security-Policy: script-src 'self' 'sha256-abc123...'

Strategie 2: Nonces für Server-side Rendered SPAs (Next.js, Nuxt, SvelteKit). Bei serverseitigem Rendering kann jede HTML-Antwort einen dynamischen Nonce enthalten, wie im vorherigen Schritt beschrieben. Next.js 14+ unterstützt CSP-Nonces nativ über die headers()-Middleware-Konfiguration.

Strategie 3: ‘strict-dynamic’ für Skriptbäume. Das Direktiv 'strict-dynamic' erlaubt das Laden weiterer Scripts durch einen bereits vertrauenswürdigen Script (mit korrektem Nonce oder Hash), ohne alle CDN-URLs einzeln eintragen zu müssen. Das vereinfacht die CSP für Apps mit vielen dynamisch geladenen Modulen erheblich:

scriptSrc: [
  (req, res) => `'nonce-${res.locals.nonce}'`,
  // strict-dynamic: Erlaubt Scripts, die vom nonce-signierten Script geladen werden
  "'strict-dynamic'",
  // Fallback für Browser ohne strict-dynamic-Support
  "https:",
]

Strategie 4: webpack-csp-hash-plugin für Build-Integration. Für statisch gebaute SPAs generieren Build-Plugins automatisch die korrekten CSP-Hashes für alle Inline-Scripts und -Styles, die beim Build entstehen. Das eliminiert manuelles Hash-Management vollständig.

Für rein statische SPAs (ohne Backend), die auf Nginx oder einem CDN laufen, muss die CSP über Response-Header des Webservers gesetzt werden, nicht über Node.js. In diesem Fall konfigurierst du die Header direkt in nginx.conf oder in der CDN-Konfiguration (Cloudflare Workers, AWS CloudFront Functions). Helmet ist in diesem Szenario nicht im Einsatz, die Direktiven bleiben aber identisch.

Permissions-Policy: Browser-Features einschränken

Der Permissions-Policy-Header (früher Feature-Policy) erlaubt es, Browser-Features wie Kamera, Mikrofon, Geolocation oder Accelerometer für deine App zu deaktivieren. Das verhindert, dass Angreifer nach einem erfolgreichen XSS-Angriff Zugriff auf sensible Hardware-Features erhalten. Helmet setzt diesen Header standardmässig nicht, er kann aber einfach hinzugefügt werden:

const express = require('express');
const helmet = require('helmet');
const app = express();

app.use(helmet());

// Permissions-Policy manuell als zusätzlichen Header setzen
// (Helmet 8.x enthält noch kein dediziertes Modul dafür)
app.use((req, res, next) => {
  res.setHeader(
    'Permissions-Policy',
    [
      // Kamera vollständig deaktivieren
      'camera=()',
      // Mikrofon vollständig deaktivieren
      'microphone=()',
      // Geolocation nur für eigene Domain erlauben
      'geolocation=(self)',
      // USB-Zugriff deaktivieren
      'usb=()',
      // Payment API nur für eigene Domain
      'payment=(self)',
      // Fullscreen für eigene Domain und Partner
      'fullscreen=(self "https://partner.example.de")',
      // Ambient Light Sensor deaktivieren
      'ambient-light-sensor=()',
      // Autoplay für eigene Domain erlauben
      'autoplay=(self)',
    ].join(', ')
  );
  next();
});

Die Implementierung des Permissions-Policy-Headers ist besonders relevant für Apps, die sensible Nutzerdaten verarbeiten oder in regulierten Branchen (Gesundheitswesen, Finanzdienstleistungen) eingesetzt werden. In einer DSGVO-Kontext ist die explizite Deaktivierung nicht benötigter Browser-Features ein zusätzlicher Nachweis für Privacy-by-Design-Prinzipien.

Der Header wird von Chrome und Edge bereits vollständig unterstützt, Firefox folgt schrittweise. Für ältere Browser, die den Header nicht verstehen, wird er einfach ignoriert, was keinen negativen Effekt hat. Das macht Permissions-Policy zu einem Low-Risk/High-Reward-Addition zu deiner Security-Konfiguration.

Security Headers Score und Compliance-Nachweis

Das Tool securityheaders.com von Scott Helme analysiert HTTP Security Headers einer öffentlichen Domain und gibt eine Bewertung von A+ bis F. Ohne Helmet startet eine frische Express-App bei F. Mit der Standard-Helmet-Konfiguration lässt sich ein A erreichen. Für A+ sind zusätzliche Anpassungen nötig, insbesondere eine vollständige CSP ohne Wildcards und HSTS-Preload-Registrierung.

Für schnelle Checks direkt aus dem Terminal, ohne externe Tools:

# Alle Security-relevanten Header einer Live-Domain prüfen
curl -sI https://deine-domain.de/ | grep -iE \
  "(content-security|strict-transport|x-frame|x-content|referrer|cross-origin|permissions-policy)"

# Prüfen, welche Security-Headers FEHLEN (Negativ-Prüfung)
HEADERS=$(curl -sI https://deine-domain.de/)
REQUIRED_HEADERS=(
  "content-security-policy"
  "strict-transport-security"
  "x-frame-options"
  "x-content-type-options"
  "referrer-policy"
)
for HEADER in "${REQUIRED_HEADERS[@]}"; do
  if echo "$HEADERS" | grep -qi "$HEADER"; then
    echo "OK:      $HEADER"
  else
    echo "FEHLT:   $HEADER"
  fi
done

Für Compliance-Dokumentation (ISO 27001, SOC 2, BSI IT-Grundschutz) ist ein automatisierter Security-Header-Report hilfreich. Das folgende Skript generiert einen strukturierten Bericht, der als Nachweis für Sicherheitsaudits genutzt werden kann:

#!/bin/bash
# Security-Header-Audit-Bericht generieren
# Verwendung: ./audit-headers.sh https://deine-domain.de

DOMAIN="${1:-https://localhost:3000}"
DATE=$(date '+%Y-%m-%d %H:%M:%S')
REPORT_FILE="security-header-audit-$(date '+%Y%m%d').txt"

echo "Security-Header-Audit für $DOMAIN" > "$REPORT_FILE"
echo "Datum: $DATE" >> "$REPORT_FILE"
echo "=====================================" >> "$REPORT_FILE"

HEADERS=$(curl -sI --max-time 10 "$DOMAIN")
SCORE=0
MAX_SCORE=7

check_header() {
  local HEADER_NAME="$1"
  local POINTS="$2"
  if echo "$HEADERS" | grep -qi "$HEADER_NAME"; then
    echo "[OK]     $HEADER_NAME" | tee -a "$REPORT_FILE"
    SCORE=$((SCORE + POINTS))
  else
    echo "[FEHLT]  $HEADER_NAME" | tee -a "$REPORT_FILE"
  fi
}

check_header "Content-Security-Policy" 2
check_header "Strict-Transport-Security" 2
check_header "X-Frame-Options" 1
check_header "X-Content-Type-Options" 1
check_header "Referrer-Policy" 1

echo "" | tee -a "$REPORT_FILE"
echo "Score: $SCORE/$MAX_SCORE" | tee -a "$REPORT_FILE"
echo "Bericht gespeichert: $REPORT_FILE"

In regulierten Umgebungen (Banken, Gesundheit, öffentliche Verwaltung) sind Security-Header-Reports ein Standardbestandteil von Penetrationstests und Sicherheitsaudits. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt in der Technischen Richtlinie TR-03166 explizit die Implementierung von Content-Security-Policy, HSTS und X-Frame-Options für öffentliche Web-Services.

Helmet.js in Docker und Kubernetes-Umgebungen

In Container-basierten Deployments läuft Node.js typischerweise hinter einem Reverse-Proxy (Nginx, Traefik) oder einem Ingress-Controller (Kubernetes Nginx Ingress). Das beeinflusst, wie Helmet konfiguriert werden muss, insbesondere für HSTS und den Proxy-Trust.

Wenn Nginx oder Traefik als Reverse-Proxy HTTPS terminiert und unverschlüsselt mit dem Node.js-Container kommuniziert, muss Express mitteilen, dem Proxy zu vertrauen. Andernfalls erkennt Express nicht, dass die ursprüngliche Verbindung HTTPS war, und HSTS könnte auf HTTP-Verbindungen gesetzt werden:

const app = express();

// Reverse-Proxy vertrauen (Nginx/Traefik/Kubernetes Ingress)
// 1 = einem Proxy vertrauen, 2 = zwei Proxies (LB + Reverse-Proxy), etc.
if (process.env.TRUST_PROXY) {
  app.set('trust proxy', parseInt(process.env.TRUST_PROXY, 10));
}

// Sicherheitscheck: HTTPS-Verbindung erkennen
const isHttps = (req) => req.secure || req.headers['x-forwarded-proto'] === 'https';

// Helmet mit HTTPS-Erkennung
app.use((req, res, next) => {
  helmet({
    hsts: process.env.NODE_ENV === 'production' && isHttps(req)
      ? { maxAge: 63072000, includeSubDomains: true }
      : false,
  })(req, res, next);
});

Für Kubernetes-Deployments empfiehlt sich eine Konfiguration per Umgebungsvariablen, damit dieselbe Docker-Image in verschiedenen Umgebungen (Dev, Staging, Prod) unterschiedliche Security-Policies verwenden kann:

# Kubernetes ConfigMap für Security-Einstellungen
apiVersion: v1
kind: ConfigMap
metadata:
  name: app-security-config
data:
  NODE_ENV: "production"
  TRUST_PROXY: "1"
  CSP_REPORT_URI: "https://csp-report.example.de/api/csp"
  HSTS_MAX_AGE: "63072000"

// Konfiguration aus Umgebungsvariablen lesen
const config = {
  isProduction: process.env.NODE_ENV === 'production',
  hsts: {
    maxAge: parseInt(process.env.HSTS_MAX_AGE || '15552000', 10),
    includeSubDomains: true,
    preload: process.env.HSTS_PRELOAD === 'true',
  },
  cspReportUri: process.env.CSP_REPORT_URI || '/api/csp-report',
};

app.use(
  helmet({
    hsts: config.isProduction ? config.hsts : false,
    contentSecurityPolicy: {
      directives: {
        defaultSrc: ["'self'"],
        reportUri: [config.cspReportUri],
      },
    },
  })
);

Diese Konfiguration ermöglicht GitOps-kompatible Security-Policies: Die eigentliche Policy-Definition liegt im Kubernetes-Manifest, nicht im Code. Änderungen an CSP-Direktiven oder HSTS-Werten erfordern nur ein ConfigMap-Update und einen Rolling-Restart, kein neues Docker-Build.

Verwandte Artikel

Weitere Artikel zur Node.js-Sicherheit auf shattered.io:

• CSRF-Schutz in Node.js: 12 Schritte gegen Cross-Site-Request-Forgery
• JWT-Authentifizierung in Node.js: 10 Schritte, sichere Token-Verwaltung
• Rate Limiting in Node.js: 12 Schritte gegen Brute-Force und DDoS
• HTTPS und TLS erklärt: Was das Schloss-Symbol wirklich bedeutet
• Let’s Encrypt: Kostenloses SSL-Zertifikat in 12 Schritten einrichten
• ModSecurity 3 und Nginx WAF einrichten: 12 Schritte Web Application Firewall
• Zwei-Faktor-Authentifizierung in Node.js: 11 Schritte TOTP-Implementierung

Externe Ressourcen:

• Helmet.js offizielle Dokumentation mit allen Konfigurationsoptionen und Changelog
• MDN Web Docs: Content-Security-Policy vollständige Direktiven-Referenz
• OWASP Secure Headers Project Best-Practice-Empfehlungen 2026
• Express.js Security Best Practices offizielle Empfehlungen
• Node.js 22 Release Notes TLS 1.3 und Security-Updates