Как настроить CORS и security headers при production деплое?

Правило: конфигурируй через env переменные. CORS_ORIGIN=https://app.example.com. cors({ origin: process.env.CORS_ORIGIN.split(",") }) — поддержка нескольких доменов. В production: никогда origin: * для endpoints с credentials. Заголовки через helmet: настраивай CSP конкретно под свой проект — дефолтный может ломать ресурсы. В nginx: можно добавить security заголовки там — они будут применены для всех ответов включая статику. Проверяй через securityheaders.com. Регулярно аудитируй.