Что делает helmet.js и зачем его использовать?

helmet устанавливает HTTP заголовки безопасности: X-Frame-Options (защита от clickjacking), X-XSS-Protection, Content-Security-Policy, Strict-Transport-Security (HTTPS only), X-Content-Type-Options (no MIME sniffing) и другие. app.use(helmet()) — одна строка закрывает несколько векторов атак. По умолчанию включает набор рекомендуемых заголовков. CSP нужно настраивать под свой проект — дефолт довольно жёсткий.