Node.js — Node.js 26.4.0 (Current)

Issue #630: Node.js 26.4 lands package maps — Node Weekly

Node.js 26.4 bổ sung hỗ trợ thử nghiệm package maps (giải quyết package từ file JSON tĩnh thay vì duyệt node_modules) và bắt đầu giới thiệu subsystem node:vfs của Matteo Collina. Bản tin cũng đề cập đến phân tích về hạn chế bảo mật của npm v12 khi chặn script cài đặt mặc định, bài viết suy đoán về npm chạy trên AT Protocol, TypeScript 7.0 RC với compiler Go nhanh gấp 10 lần, và framework Eve của Vercel cho xây dựng AI agent theo cấu trúc Next.js.

Lập trình viên nên đọc để cập nhật về Node.js 26.4, đặc biệt là tính năng mới về package maps (tối ưu hóa giải quyết phụ thuộc từ JSON thay vì khám phá node_modules) và vfs subsystem của Matteo Collina, giúp cải thiện hiệu suất và quản lý dự án.

Prop For That

Thư viện Prop For That của Adam Argyle cung cấp các CSS custom properties động, cho phép truy cập vào những thuộc tính CSS thông thường không thể truy xuất như vị trí con trỏ, tốc độ cuộn, trạng thái form hay thời gian hiện tại. Nhà phát triển chỉ cần thêm thuộc tính data vào HTML, sau đó sử dụng trực tiếp các biến CSS này trong stylesheet mà không cần viết JavaScript.

Lập trình viên nên đọc bài này để khám phá cách Prop For That giúp tối ưu hóa giao diện người dùng bằng cách kết nối trực tiếp CSS với dữ liệu động từ HTML mà không cần JavaScript, mở rộng khả năng tùy biến UI một cách đơn giản và hiệu quả.

How to Build Secure-by-Default Node.js APIs

Bài viết hướng dẫn xây dựng các API Node.js HTTP theo tiêu chuẩn bảo mật mặc định mà không cần phụ thuộc thư viện ngoài. Sáu biện pháp bảo vệ cốt lõi bao gồm: giới hạn kích thước body request (đo bằng bytes khi streaming), timeout request sử dụng AbortController, phân tích JSON an toàn chống tấn công prototype pollution, thiết lập tiêu đề bảo mật (CSP, HSTS, v.v.), so sánh secret an toàn bằng crypto.timingSafeEqual, và xác thực đầu vào chặt chẽ ngăn chặn mass-assignment. Ngoài ra còn giải thích CORS đúng cách, xử lý lỗi có cấu trúc với request ID, và nhấn mạnh triết lý "bảo mật mặc định tốt hơn checklist".

Lập trình viên nên đọc bài này để tránh rủi ro bảo mật khi phát triển API Node.js bằng cách áp dụng các quy tắc an toàn mặc định từ cơ sở, từ việc kiểm soát kích thước request đến xử lý mật khẩu an toàn, giúp giảm thiểu lỗ hổng mà không cần phụ thuộc vào thư viện phụ.

CQRS Without the Astronaut Architecture

Bài viết hướng dẫn triển khai CQRS trong Node.js/TypeScript theo cách đơn giản, không cần …

35 React Interview Questions Senior Developers Still Get Wrong

Bài viết cung cấp 35 câu hỏi phỏng vấn React dành cho senior developer, xoay quanh các chủ đề như rendering behavior, hooks (useState, useRef, useEffect, useLayoutEffect), tính năng React 19 (Actions, useOptimistic, React Compiler), Server Components, tối ưu hiệu suất, quản lý state, React Router và testing. Mỗi câu hỏi đi kèm ví dụ code thực tế và giải thích chi tiết, tập trung vào hiểu bản chất React thay vì ghi nhớ API.

Lập trình viên senior cần đọc bài này để khắc phục lỗi thường gặp trong các câu hỏi thực tế về React—không chỉ là nhớ kỹ thuật mà là hiểu sâu về cơ chế hoạt động, từ rendering đến các tính năng mới nhất như Server Components và React Compiler, giúp họ ứng dụng kiến thức một cách chính xác trong công việc.

Authorized Logger

Một nhà phát triển tên Gretchen gia nhập dự án Node.js cũ kỹ sau khi bị mua lại và phát hiện hàng loạt lỗi nghiêm trọng: logging bị hỏng chỉ in ra "DEBUG", lỗ hổng SQL injection từ truy vấn thô, thiếu middleware phân quyền trên hầu hết endpoints (kể cả API admin), codebase dừng ở Node.js 14, và dữ liệu request được đưa trực tiếp vào database mà không qua bất kỳ validation nào.

Lập trình viên nên đọc bài này để tránh rơi vào những sai lầm an toàn và thiết kế không hiệu quả trong dự án Node.js, từ đó học cách cải thiện bảo mật, quản lý lỗi và tối ưu hóa hệ thống ngay từ giai đoạn đầu.

Logic for Programmers v0.15, Livecoding

Bản phát hành v0.15 của Logic for Programmers đã ra mắt dưới dạng ứng viên phát hành chính thức đầu tiên, với toàn bộ nội dung hoàn thiện và biên tập. Phiên bản in v1.0 sẽ sớm ra mắt. Tác giả cũng chia sẻ ghi chú ngắn từ buổi livecoding ở Chicago, giới thiệu hai ngôn ngữ livecoding âm nhạc: Strudel (DSL JavaScript, port từ Haskell's TidalCycles) và CLAVIER-36 (ngôn ngữ chuyên dụng sử dụng lưới 2D, lấy cảm hứng từ Orca).

Bạn nên đọc để khám phá cách các ngôn ngữ đặc biệt như Strudel và CLAVIER-36 kết hợp logic với âm nhạc, giúp mở rộng tư duy về cách lập trình có thể ứng dụng sáng tạo trong các lĩnh vực đa dạng, từ nghệ thuật đến giải quyết vấn đề phức tạp.