Building a Shopping Cart In Nodejs

How to Build Secure-by-Default Node.js APIs

Bài viết hướng dẫn xây dựng các API Node.js HTTP theo tiêu chuẩn bảo mật mặc định mà không cần phụ thuộc thư viện ngoài. Sáu biện pháp bảo vệ cốt lõi bao gồm: giới hạn kích thước body request (đo bằng bytes khi streaming), timeout request sử dụng AbortController, phân tích JSON an toàn chống tấn công prototype pollution, thiết lập tiêu đề bảo mật (CSP, HSTS, v.v.), so sánh secret an toàn bằng crypto.timingSafeEqual, và xác thực đầu vào chặt chẽ ngăn chặn mass-assignment. Ngoài ra còn giải thích CORS đúng cách, xử lý lỗi có cấu trúc với request ID, và nhấn mạnh triết lý "bảo mật mặc định tốt hơn checklist".

Lập trình viên nên đọc bài này để tránh rủi ro bảo mật khi phát triển API Node.js bằng cách áp dụng các quy tắc an toàn mặc định từ cơ sở, từ việc kiểm soát kích thước request đến xử lý mật khẩu an toàn, giúp giảm thiểu lỗ hổng mà không cần phụ thuộc vào thư viện phụ.

CQRS Without the Astronaut Architecture

Bài viết hướng dẫn triển khai CQRS trong Node.js/TypeScript theo cách đơn giản, không cần …

FFmpeg fixes PixelSmash flaw in widely used video decoder

Lỗ hổng ghi vượt giới hạn heap (CVE-2026-8461) có tên PixelSmash được phát hiện trong bộ giải mã MagicYUV của FFmpeg, ảnh hưởng đến nhiều ứng dụng sử dụng libavcodec như Kodi, OBS Studio, Nextcloud, PhotoPrism, Emby và Jellyfin. FFmpeg 8.1.2 đã vá lỗ hổng này, có thể gây RCE hoặc từ chối dịch vụ tùy thuộc vào điều kiện hệ thống.

Lập trình viên nên đọc bài này vì PixelSmash là lỗ hổng nghiêm trọng trong FFmpeg, có thể dẫn đến tấn công xâm nhập từ xa (RCE) hoặc cản trở hoạt động của ứng dụng sử dụng libavcodec, từ các nền tảng như Kodi đến hệ thống quản lý media như Jellyfin, ảnh hưởng đến cả hệ thống của bạn nếu không được cập nhật.

Authorized Logger

Một nhà phát triển tên Gretchen gia nhập dự án Node.js cũ kỹ sau khi bị mua lại và phát hiện hàng loạt lỗi nghiêm trọng: logging bị hỏng chỉ in ra "DEBUG", lỗ hổng SQL injection từ truy vấn thô, thiếu middleware phân quyền trên hầu hết endpoints (kể cả API admin), codebase dừng ở Node.js 14, và dữ liệu request được đưa trực tiếp vào database mà không qua bất kỳ validation nào.

Lập trình viên nên đọc bài này để tránh rơi vào những sai lầm an toàn và thiết kế không hiệu quả trong dự án Node.js, từ đó học cách cải thiện bảo mật, quản lý lỗi và tối ưu hóa hệ thống ngay từ giai đoạn đầu.

Announcing DuckDB 1.5.4 Variegata

DuckDB phiên bản 1.5.4 (Variegata) vừa ra mắt với nhiều bản sửa lỗi quan trọng, tối ưu hiệu năng và vá lỗ hổng bảo mật. Phiên bản này cải thiện xử lý JSON, sửa lỗi crash nghiêm trọng như double free trong Arrow GeoArrow CRS, đồng thời bổ sung tùy chọn giao diện dòng lệnh (CLI) dark/light mode. Nhóm phát triển cũng hé lộ kế hoạch phát hành DuckDB 2.0.0 vào mùa thu sắp tới.

Lập trình viên cần đọc bài này để cập nhật về các cải tiến mới trong DuckDB, đặc biệt là các sửa lỗi quan trọng về kết hợp dữ liệu, xử lý JSON, và hiệu suất—điều này sẽ giúp họ tối ưu hóa các ứng dụng xử lý dữ liệu lớn và tăng tính ổn định cho hệ thống.

Node.js — Node.js 24.18.0 (LTS)

Node.js 24.18.0 LTS (tên mã 'Krypton') bổ sung nhiều cải tiến quan trọng như cập nhật chứng chỉ gốc lên NSS 3.123.1, tối ưu hóa socket HTTP idle, tăng kích thước mặc định Buffer.poolSize lên 64 KiB, bổ sung thuật toán TurboSHAKE, KangarooTwelve cho Web Cryptography, hỗ trợ mã trạng thái HTTP 1xx tùy ý, và cải thiện bảo mật crypto (chống tấn công prototype pollution, tương thích BoringSSL, hỗ trợ ML-DSA/ML-KEM JWK). Ngoài ra, phiên bản này nâng cấp npm lên 11.16.0, SQLite lên 3.53.1 cùng nhiều sửa lỗi khác.

Lập trình viên nên đọc bài này vì phiên bản Node.js mới 24.18.0 LTS mang đến những cải tiến an toàn và hiệu năng quan trọng như hỗ trợ mã hóa WebCrypto mới, nâng cấp bảo mật và cải thiện trải nghiệm phát triển với các tính năng như kiểm soát chính xác độ phủ code và tối ưu hóa stream.

Node.js — Node.js 22.23.0 (LTS)

Node.js 22.23.0 (LTS) là bản cập nhật bảo mật chỉ tập trung vào dòng LTS 'Jod', vá 11 lỗ hổng CVE, bao gồm các lỗi nghiêm trọng về chuẩn hóa hostname TLS, bảo vệ độ dài cipher WebCrypto, tăng trưởng bộ nhớ không giới hạn HTTP/2, tiêm NUL byte vào DNS/net hostname, rò rỉ credential proxy, và poisoning hàng đợi HTTP. Các dependency như nghttp2, OpenSSL, llhttp, undici cũng được nâng cấp.

Lập trình viên Node.js nên đọc bài này để cập nhật các bản vá an toàn mới nhất, đặc biệt là các lỗ hổng TLS và WebCrypto có thể ảnh hưởng đến tính bảo mật của ứng dụng web của bạn.