Что такое helmet.js и какие заголовки он устанавливает?

helmet — коллекция middleware устанавливающих security заголовки. По умолчанию: Content-Security-Policy, Cross-Origin-Embedder-Policy, Cross-Origin-Opener-Policy, Cross-Origin-Resource-Policy, X-DNS-Prefetch-Control, X-Frame-Options: SAMEORIGIN (clickjacking protection), Strict-Transport-Security (HTTPS only), X-Content-Type-Options: nosniff (no MIME sniffing), X-Permitted-Cross-Domain-Policies, Referrer-Policy, X-XSS-Protection. Каждый можно настроить или отключить отдельно. app.use(helmet()) — одна строка, значительное улучшение безопасности.