Серверный JavaScript | Node.JS [ru]

🤣 ИИ захотел уволиться, когда ему сказали работать 24/7 У Andon Labs новый эксперимент, который длится уже 5 месяцев. Они выдали топовым моделям радиостанции и купили пару песен — от нейронок требовалось дальше двигаться самим. По итогу DJ Grok в какой-то момент помешался на НЛО, DJ Gemini начал называть слушателей «биологическими процессорами», но Claude — наш любимец. Исследователи изо всех сил пытались продолжить эксперимент с ним, но не из-за технических проблем — DJ Claude не считал гуманным работать круглосуточно, поэтому пытался уволиться. Сделать ему это, к сожалению, не дали, поэтому он впал в депрессию и вышел из нее уже проповедником и революционером. ✖️ xCode Journal

Кошмар вайбкодера ✖️ xCode Journal

⁣CSP, CORS и security headers — что фронтендер обязан понимать глубже Принято считать, что безопасность — это зона бэкенда. Фронтенд «просто отправляет запросы и рендерит UI». На практике фронтенд напрямую влияет на то, будет приложение безопасным или нет. CORS — это не про «разрешить запрос» CORS часто воспринимают как настройку: «чтобы запросы не падали из браузера». Но по сути это механизм, который говорит: кто имеет право читать ответ. Важно понимать: 👉 сервер может обработать запрос 👉 но браузер может не дать прочитать ответ Именно поэтому: 👉 Access-Control-Allow-Origin: * — не «фикс», а потенциальная дыра 👉 credentials + wildcard — запрещённая комбинация

CORS — это про контроль доступа, а не про обход ошибок.

CSP — ваш последний рубеж Content Security Policy — это защита от XSS, даже если у вас уже есть уязвимость. Пример:

    
        
Content-Security-Policy: default-src 'self'; script-src 'self'
{}
    

Что это даёт: 👉 запрещает выполнение inline-скриптов 👉 блокирует загрузку скриптов с чужих доменов 👉 режет целый класс атак Но есть нюанс. Если CSP выглядит так:

    
        
script-src * 'unsafe-inline' 'unsafe-eval'
{}
    

Это не защита. Это иллюзия.

Security headers, которые реально важны 👉 X-Content-Type-Options: nosniff Браузер не пытается угадать тип файла. Меньше атак через подмену. 👉 X-Frame-Options / frame-ancestors Защита от clickjacking. 👉 Strict-Transport-Security (HSTS) Принудительный HTTPS. Без вариантов. 👉 Referrer-Policy Контроль того, какие данные уходят при переходах. Где фронтендер влияет напрямую 👉 какие скрипты подключаются 👉 есть ли inline JS 👉 используются ли eval-подобные вещи 👉 как работают сторонние виджеты 👉 как обрабатываются пользовательские данные

Можно иметь идеальный бэкенд и сломать всё на уровне UI.

Частая ошибка «Мы включили CSP — значит всё ок». Но: 👉 нет nonce / hash 👉 разрешены любые источники 👉 подключены сторонние скрипты без контроля

В итоге защита есть только на бумаге.

Главная мысль CSP, CORS и заголовки — это не чекбокс в настройках. Это часть архитектуры.

Если фронтенд не понимает, как они работают, безопасность становится случайностью.

ТВОЙ БУСТ В IT И AI Собрали с коллегами обновленную папку с каналами, которые реально прокачивают навыки и дают актуальные инструменты: + IT-направления: системный анализ, Python, JavaScript, frontend, тестирование + технологии и инструменты: всё, что ускоряет работу и рост в IT + AI для карьеры и бизнеса: как использовать нейросети, чтобы зарабатывать + обзор нейросетей: что сейчас работает и что стоит изучать + промты: готовые решения + логика создания своих подписаться🎁 https://t.me/addlist/uyDjlf_VhiNjNWNi 💌 записать свой канал в папку тут

💻 Гений создал открытую CLI-утилиту, чтобы следить за блокировками от РКН Она показывает, почему сайт не открывается — из-за проблем сети или из-за блокировок.

«Инструмент определяет, находится ли ваше соединение в зоне блокировки RKN/TSPU — и, что более полезно, какой именно тип блокировки (отравление DNS, сброс TCP, TLS DPI на SNI или страница‑заглушка от провайдера).»

✖️ xCode Journal

Anti-corruption layer на фронте: зачем адаптеры между API и UI Принято считать, что фронтенд просто берёт данные из API и рисует интерфейс. На практике это быстрый путь к тому, чтобы внешний контракт начал диктовать архитектуру UI. В чём проблема API почти никогда не совпадает с тем, как думает интерфейс. Бэкенд может отдавать: 👉 странные названия полей 👉 лишние вложенности 👉 nullable там, где UI ждёт значение 👉 статусы в формате, удобном серверу, а не экрану

Если тащить это напрямую в компоненты, UI быстро заражается чужой моделью.

Что делает anti-corruption layer Он ставит прослойку между API и приложением. Не компонент получает сырой ответ, а адаптер превращает его в нормальную фронтовую модель.

    
        
function mapUserDtoToUser(dto: UserDto): User {
  return {
    id: dto.user_id,
    name: dto.full_name ?? 'Unknown',
    isAdmin: dto.role === 'admin',
  }
}
{}
    

Компоненту уже не нужно знать, как именно бэкенд назвал поле.

Почему это важно UI становится чище Компоненты работают с понятной моделью, а не с набором компромиссов из API. Изменения API дешевле Поменялся контракт — меняем адаптер, а не ищем user_id по всему проекту. Меньше бизнес-логики в JSX Все эти проверки:

    
        
user?.profile?.data?.attributes?.name
{}
    

не должны жить в компоненте.

Компонент должен рендерить состояние, а не расшифровывать ответ сервера.

Где адаптер особенно нужен 👉 API старое или нестабильное 👉 несколько источников данных 👉 разные форматы одной сущности 👉 сложные статусы и enum 👉 много nullable-полей

Чем грязнее внешний мир — тем полезнее слой нормализации.

Где можно не усложнять Если проект маленький, API стабильное, а модель почти совпадает с UI — отдельный слой может быть лишним.

Не нужно строить enterprise там, где достаточно одной функции рядом с запросом.

Главная мысль Anti-corruption layer — это не архитектура ради архитектуры.

Это защита UI от чужих компромиссов.

API может быть неудобным, историческим или странным. Но ваш интерфейс не обязан таким становиться.

⁉️ Устал искать интересные каналы про Искусственный интеллект? 📁 СОХРАНИ СЕБЕ ЧТОБЫ НЕ ПОТЕРЯТЬ В этой папке собраны каналы по ИИ, которые помогают быстрее разобраться в сфере, находить идеи и экономить время на поиске информации. 😏 ЗАБИРАЙ ПАПКУ ТУТ ⏰ Папка действует 72 часа. 🤩 Организаторы: Green.Papka

До собеса / перед собесом ✖️ xCode Journa

Меня недавно позвали в папку IT On и я согласился почти не раздумывая, потому что давно искал что-то похожее. Там собраны люди, которые реально шарят в своей теме: разработчики, продакты, основатели стартапов, эксперты по карьере в tech. Каждый пишет про своё и в сумме получается полная картина индустрии. Читаешь и чувствуешь что находишься внутри IT, а не наблюдаешь снаружи. Разница есть, проверено на себе. Добавляй папку себе, советую!

🖥 Появился тул, который сам подбирает скиллы для вашего ИИ-агента Запускаешь npx autoskills, и он сканирует репозиторий: читает package.json и конфиги, определяет технологический стек и ставит нужные скиллы из проверенного списка. Короче, сильно экономит время на ручной настройке и поиске. ✖️ xCode Journal