Node.js / NestJS

Mejores prácticas de seguridad

Helmet, CORS, rate limiting, sanitización de entradas, SQL injection, XSS, CSRF

25 preguntas de entrevista·
Senior
1

¿Qué es Helmet en el contexto de NestJS?

Respuesta

Helmet es un middleware que configura automáticamente los headers HTTP de seguridad para proteger las aplicaciones contra vulnerabilidades comunes. Habilita headers como X-Frame-Options, Content-Security-Policy y X-Content-Type-Options para prevenir XSS, clickjacking y MIME sniffing. Helmet es una mejor práctica esencial en producción para reforzar la superficie de seguridad.

2

¿Cuál es el rol principal de CORS en una API?

Respuesta

CORS (Cross-Origin Resource Sharing) controla qué dominios externos pueden acceder a los recursos de la API. Sin la configuración de CORS, los navegadores bloquean las solicitudes provenientes de dominios diferentes por razones de seguridad. Configurar CORS correctamente evita errores de acceso mientras se mantiene la seguridad. Usa listas blancas de orígenes permitidos en lugar de permitir todos los dominios con un wildcard.

3

¿Cuál es el mejor enfoque para proteger una API contra los ataques de fuerza bruta?

Respuesta

El rate limiting limita el número de solicitudes por IP o usuario en un período determinado, evitando los ataques automatizados de fuerza bruta. Paquetes como throttler-module en NestJS permiten configurar fácilmente límites globales o por endpoint. Combina el rate limiting con estrategias progresivas (bloqueo temporal creciente) y CAPTCHA para los endpoints sensibles. El rate limiting también protege contra la denegación de servicio.

4

¿Qué es un ataque XSS (Cross-Site Scripting)?

5

¿Cómo proteger una aplicación NestJS contra la inyección SQL?

+22 preguntas de entrevista

Domina Node.js / NestJS para tu próxima entrevista

Accede a todas las preguntas, flashcards, tests técnicos, ejercicios de code review y simuladores de entrevista.

Empieza gratis