Cuando trabajamos con Node y Express para hacer una API, por defecto se añade una cabecera en la petición de respuesta del servidor X-Powered-By: Express.
En mi opinión, la seguridad creo que es algo muy importante. Por tanto, ofrecer la mínima información posible acerca de cómo funciona nuestro servicio es esencial.
Este header es fácil de deshabilitar. La mejor forma de hacerlo es añadiendo esta línea de código a nuestro servidor, tras la creación del servidor:
const app = express();
app.disable('x-powered-by');En caso de no poder hacer esto, siempre se podría ocultar la cabecera en el reverse proxy que haya delante (nginx, cloudflare, cloudfront...)