Node Hero — руководство по безопасности Node.js


Оглавление (нажмите, чтобы открыть):

Скринкаст по Node.js

Вашему вниманию предлагается скринкаст по Node.JS на русском языке.

Его целью не является разбор всех-всех возможностей и модулей Node.JS, ведь многие из них используются очень редко.

С другой стороны, мы очень подробно разберём основные возможности и средства создания веб-сервисов, включая внутренние особенности самого сервера Node.JS, важные для его работы.

Если вы — разработчик, то вам наверняка известно: большинство полезной документации и скринкастов делается на английском.

Конечно, даже на английском много всего устаревшего, приходится порыться, но на русском — всё гораздо хуже. Многого просто нет. Хотелось бы поменять эту ситуацию, хотя бы в плане Node.JS.

Вы также можете скачать все скринкасты в виде архива с видео-файлами.

node.js: зачем использовать express?

Прочитал массу статей, но так и не понял какой смысл привязываться к express и шаблонизаторам? Не дает ли больше контроля над собственным приложением подход с использованием базовых модулей node.js как описано в этой книжке

Прежде всего интересует с точки зрения безопасности (в том числе «затруднение» ддос атаки), а не удобства и времени разработки.

1 ответ 1

Шаблонизаторы удобны тем, что разметка не пишется в коде. ПОмимо отделения логики от разметки, отпаданет необходимость экранирования всяких символов и кучи конкатенаций строк.

Что касается контроля. Node.js даёт вообще максимальный контроль за происходящем. Но, чем более низкоуровневые инструменты ты используешь, тем больше придётся реализовать самому. Да, это даст максимальную гибкость в тех местах, которые нужны лично тебе. Но одновременно это значительно увеличит время разработки.

Далее, в плане безопасности. Вот стал ты делать что-то сам. Да, возможно, ты суперкрутой специалист в этой теме, сделаешь всё идеально и оно будет очень хорошо работать. Да, возможно. Но таких случаев единицы. Весьма вероятно, что ты что-то не учтёшь, сделаешь посредственно и, даже если удастся избежать явных косяков, можно просто насажать всяких дыр.

Плюс популярных модулей в том, что они широко используются и можно рассчитывать, что раз их выбрали, то они достаточно качественные, чтобы этого заслужить. Кроме того, можно рассчитывать на исправление ошибок в них, если такие обнаружатся. Минус же в том, что если вдруг выясняется какая-либо дыра, то все, кто использует этот модуль становятся уязвимы. Вполне возможно, что никого твой сайтик особо и не интересовал, чтобы искать в нём дыры, даже если их там много. Но вот опробовать нечто уже готовое на нём — почему бы нет.

В большинстве случаев быстрота разработки и достаточная надёжность перевешивают необходимость в излишней гибкости. Ну мало кто хочет себе признаться «я делаю хреновый сайт, на котором будет полтора человека и пофиг на все дыры, как-нибудь сам слеплю».

Хотя в целях обучения можно было бы попробовать написать нужную функциональность самому вместо использования готового модуля.

На страже безопасности JavaScript

Дата публикации: 2020-01-30

От автора: как написать код, который не делает того, чего не должен. Иногда нас, разработчиков, просят выполнять много разных задач. Мне приходилось быть графическим дизайнером для создания CSS, антропологом, работающим с сорока языками I18N / L10N, или детективом, собирающим воедино историю логов, чтобы найти ошибку в устаревшем коде.

Вместо того, чтобы просить вас освоить еще какое-то ремесло, вот несколько приемов, которые я использую в работе инженера по безопасности, они могут помочь вам написать код, в котором вы и ваши дружелюбные синие команды будете уверены.

Заставьте язык работать на себя

Представьте, что вас попросили просмотреть этот код:

Как создать сайт самому?

Какие технологии и знания необходимы сегодня, чтобы создавать сайты самостоятельно? Узнайте на интенсиве!

Это делает то, что нужно, но все равно глубоко ошибочно.

Это тесно связано с предположениями по безопасности кода, который его вызывает. Да, входные данные являются строками, но они перестают быть просто строками, когда браузер интерпретирует части как привилегированный JavaScript.

Когда у вас есть разграничение, определите типы разграничения. Многие программы должны различать строки, которые по сути являются расширениями программы, и строки, которые не являются таковыми.

Это более многословно, но данная функция не тесно связана с непроверенными предположениями безопасности клиентов. (Позже я покажу, как сохранить код минимальным.)

Доверенные процессы не фильтруются

Представьте, что вы отвечаете за помощь разработчикам в создании безопасного кода. Вы бы предпочли услышать:

Мы доверяем выводу надежных инструментов, которыми пользуются доверенные разработчики. По мере развития нашего кода мы будем комбинировать эти инструменты новыми способами и тщательно проверять любые новые инструменты.

Первый аргумент основан на фильтрации. Это действительно трудно понять правильно (подсказка: в HTML ‘:’ и ‘\:’ означают одно и то же), и, поскольку программа развивается, фильтры, как правило, со временем ослабевают, поскольку во время тестирования ложные срабатывания легче найти, чем ложно-отрицательные.

Второй аргумент — это безопасность, исходя из конструкции, которая гораздо более гибкая. Проще сбалансировать функции и безопасность, когда вводу доверяют, из-за того, как откуда он исходит, а не из-за того, как расположены его биты.

Проверьте предположения, прежде чем сделать то, что вы не сможете отменить

Чтобы найти основную причину уязвимостей, инженеры по безопасности ищут критические точки: небольшое количество функций, которые вызываются, когда программа делает то, чего не должна, и которые нельзя отменить.

Будет беда, если злоумышленник сможет вызвать:

Программа, которая хранит ненадежные значения вне этих критических точек, является более надежной. Система типов может помочь нам избежать путаницы с надежными и ненадежными строками.

Кстати, предложение по Надежным типам идентифицирует критические точки в DOM, и добавляет патчи для выполнения проверок вокруг этих точек. В Google мы используем JSConformance, чтобы увести разработчиков от этих критических точек и предоставить безопасные оболочки.

Используйте инструменты, на которые вы можете полагаться

Пример makeLink(…) немного причудливый. (Автор хотел, чтобы один пример охватывал всю статью.)

Как создать сайт самому?

Какие технологии и знания необходимы сегодня, чтобы создавать сайты самостоятельно? Узнайте на интенсиве!

Это намного лучше. Такие инструменты, как языки шаблонов, делают нашу жизнь проще, но если язык шаблонов банально добавляет строки, то это не лучше, чем первый пример makeLink.

Если язык шаблонов HTML не может создать простую ссылку без риска XSS, то это плохой инструмент.

Языки шаблонов, которые понимают различные контексты, в которых фигурируют url и linkText, могут принимать во внимание ваши решения при использовании TrustedHTML или TrustedURL, обеспечивая при этом безопасность при работе с простыми строками.

HTML не единственный язык, который создают программы Node. В «Дорожной карте по безопасности Node.js» я написал, что шаблоны строк с тегами обеспечивают баланс безопасности и простоты использования.

Например, safesql понимает синтаксис строк SQL, а тег sh понимает синтаксис bash и sh, поэтому вы можете использовать его вывод с child_process.

Запланированные ошибки

Никто из нас не идеален. Я делаю больше ошибок, когда устаю, и иногда забываю вернуться к коду, который я планировал переработать. Если вы чувствуете себя в безопасности только тогда, когда ни один из членов команды не совершает ошибку, ищите другой подход.

Предоставление привилегий модуля позволяет команде коллективно сохранять небольшой объем кода, который может создавать значения Trusted , а владельцы кода могут помочь команде обеспечить дополнительный обзор изменений в этом небольшом объеме кода. Эти практики могут помочь обеспечить дополнительную проверку, где она необходима постоянно.

Но наличие нескольких пар глаз не помогает, если обзор становится утомительным. Давайте еще раз рассмотрим наш предыдущий пример кода:

Проверки, которые мы добавили, решили проблему безопасности, но разработчик должен был добавить правильные проверки. Если код, который добавляет проверки безопасности, обнаруживается в обзорах кода ежедневно, то даже лучшая команда, вероятно, будет ежемесячно допускать ошибки, связанные с безопасностью.

В идеале код, обеспечивающий свойства безопасности, тщательно проверяется, что означает, что его нужно менять редко. Если вы заметили слишком много сбоев, попробуйте переместить проверки безопасности в код более низкого уровня с более низким уровнем сбоев. В идеале в фреймворк или плагин фреймворка.

Через уязвимый код не может утечь то, чего он не содержит

Представьте, что ваш коллега пишет веб-сервис, который выдает ответ JSON, когда пользователь запрашивает свой список друзей.

Они тестируют веб-сервис и видят, что он производит массив вроде [ < "displayName": "ILikeCats", "userId": "A01F" >]. Позже я хочу сделать более подробный ответ для текущего пользователя. Я добавляю поле homeAddress к тому же классу Account, что использовал мой коллега.

Мы склонны полагать, что добавление в API не нарушит существующий код, но мое добавочное изменение теперь приводит к утечке через запрос коллеги PII: [ < "displayName": "ILikeCats", "userId": "A01F", "homeAddress": ". " >]

В «Багах свойств» рассказывается об этой проблеме и о том, как избежать непреднамеренных утечек через символы и поля.

Относитесь к JavaScript как к динамическому языку

Статические типы TypeScript помогают своевременно обнаруживать ошибки, но их недостаточно для безопасности. Вы можете увидеть проверки во второй версии makeLink и испытать искушение использовать статические типы вместо проверок во время выполнения:

Руководство по Node.js

Node.js — это опенсорсная кроссплатформенная среда выполнения для JavaScript, которая работает
на серверах. С момента выпуска этой платформы в 2009 году она стала чрезвычайно популярной и в наши дни играет весьма важную роль в области веб-разработки. Если считать показателемпопулярности число звёзд, которые собрал некий проект на GitHub, то ​ Node.js​ , у которого более 50000 звёзд, это очень и очень популярный проект.
Платформа Node.js построена на базе JavaScript движка V8 от Google, который используется в браузере Google Chrome. Данная платформа, в основном, используется для создания веб-серверов, однако сфера её применения этим не ограничивается.

Если вам понравилась эта книга поделитесь ею с друзьями, тем самым вы помогаете нам развиваться и добавлять всё больше интересных и нужным вам книг!

Вопросы к интервью о Node.js

Если вы хоть раз интересовались веб разработкой, вы наверняка слышали о том, что Node.JS часто упоминается при обсуждении JavaScript и бэк-энд разработки. И это не просто так – время идет и люди все чаще начинают использовать Node.JS для веб разработки – этот инструмент получил много внимания за последнее время. Одновременно стали появляться различные высокооплачиваемые карьерные возможности, обеспечивающие рабочие места и Node JS уроки на разнообразных платформах. Если вы веб-разработчик и хотели бы использовать Node.JS не только для своих личных проектов, но и в компании, и в качестве инструмента для карьерного роста – отлично! Это руководство по подготовке к интервью с Node JS – именно то, что вам нужно!

В этом руководстве вы найдете некоторые из самых популярных вопросов для интервью на Node.JS, которые работодатели задают своим потенциальным сотрудникам. Будь то базовые вопросы, касающиеся JavaScript или самого Node, или сложные вопросы о внутренней разработке – эта статья поможет вам подготовиться!

Введение

Чтобы быть последовательными, мы начнем статью с обзора основных вопросов и ответов на интервью по Node.JS, которые вы должны знать перед собеседованием. Работодатели любят задавать эти вопросы в начале собеседования, после того, как вы представитесь и немного расскажете о себе.

Прежде всего, это действительно хорошая тактика для работодателя, чтобы узнать вас как личность. То, как вы отвечаете на вопросы, где вы останавливаетесь и перестаете думать, и другие мелкие детали, подобные этому, могут на самом деле многое сказать о вас, особенно о количестве работы, которую вы фактически вложили в изучение предмета.

Другая причина, почему эти базовые вопросы на интервью про Node.JS так важны, заключается в том, что интервьюеры могут проверить ваш базовый уровень знаний о Node.JS. После того, как они оценят ваш уровень квалификации, они решат, какого типа (и насколько сложно) сложные вопросы они должны дать вам позже.


В общем, важно, чтобы вы не отбрасывали основные вопросы только потому, что они могут быть «легкими» или «не важными». В том-то и дело, что вопросы на интервью про Node.JS начального уровня на самом деле могут быть важнее продвинутых – в конце концов, они определяют ход остальной части интервью.

Вопрос 1: Что такое Node.JS?

Из всех основных вопросов о Node.JS, этот, безусловно, является основным. Естественно, это также часто первый (или один из первых) вопрос, который вам зададут в интервью.

Даже опытные специалисты Node JS иногда не могут ответить на этот вопрос гладко. Когда ты полностью погружаешься в работу над Node.JS, не всегда задумываешься о том, что это из себя представляет. Чаще всего довольно сложно дать определение этому инструменту в одном кратком предложении.

Это, как говорится, есть довольно много отличных, простых и простых объяснений, доступных в Интернете. Многие (если не все) Node JS уроки содержат ответ на этот вопрос. Некоторые из них короткие и простые, другие идут немного глубже и содержат много дополнительной информации – вы можете легко выбрать то определение, которое подходит вам лучше всего.

Чтобы вам не нужно было бесцельно бродить по сети, позвольте мне дать четкий и конкретный ответ на этот вопрос.

Node JS – это инструмент на основе JavaScript, предназначенный для выполнения процессов внутренней разработки и реализации. Можно сказать, что это самая доступная версия.

Вопрос 2: Почему люди используют Node.JS?

Один из более субъективных вопросов интервью о Node JS, вам просто нужно высказать свое мнение об инструменте и его сильных сторонах. Поскольку их довольно много, вы можете выбрать те, которые интересуют вас или приносят вам наибольшую пользу.

Несколько примеров возможных ответов, которые вы могли бы дать: он быстрый, асинхронный, предоставляет единый обобщенный язык программирования и тип данных и т. д.

В целом, Node JS – это просто один из лучших инструментов на рынке, когда речь идет о разработке на стороне сервера на основе JavaScript.

Вопрос 3: В чем разница между фронт-энд и бэк-энд разработкой?

Это один из тех вопросов о Node.JS, которые могут вас застать врасплох, поскольку он не имеет прямого отношения к Node JS. Однако, если вы сами являетесь разработчиком, это также должен быть один из самых простых вопросов. Все сводится к тому, как вы это сформулируете.

Фронт-энд разработчики занимаются клиентской (пользовательской) частью веб-страницы. Они работают, разрабатывают и поддерживают все, что видит клиент – другими словами, они отвечают за визуальную (дизайн) и функциональные (например, кнопки, баннеры и т. д.) части страницы. В противоположность этому, бэкэнд-разработчики фокусируются на процессах, происходящих в фоновом режиме – то, что клиенты не видят. Они также несут ответственность за функциональность сайта, просто с более широкой точки зрения.

Так как это один из тех вопросов интервью о Node.JS, в котором вы также можете упомянуть, что веб-разработчики, которые делают обе части работы, называются фулстак разработчиками.

Вопрос 4: Что такое stubs?

Stubs (заглушки) – это определенные функции, которые имитируют поведение определенных модулей. Они чаще всего используются в тесте, поскольку они могут предоставить ответы, необходимые для решения проблем, которые могут возникнуть в модулях.

Вопрос 5: Опишите callback hell

Интересный термин сам по себе, callback hell происходит, когда огромное количество обратных вызовов складывается в одно конкретное место, таким образом, становится невозможным для чтения и – в целом – работы с ним.

Это один из описательных вопросов в интервью о Node.JS, который позволяет вам продолжить ваш ответ и упомянуть, что callback hell на самом деле могут быть решены. Это делается с помощью процесса модульности. Он работает так, что этот процесс просто разбивает обратные вызовы на отдельные функции, независимые друг от друга.

Вопрос 6: Что такое Event?

События (Event) являются одной из основных функций Node JS. Они символизируют какое-то действие, предпринятое или сделанное на веб-странице. Они управляются обработчиком событий, который записывает код, необходимый для выполнения этих событий.

Вопрос 7: Что такое event-driven программирование?

Предыдущие вопросы затрагивали о события и обратные вызовы, так что это должно быть довольно простым вопросом на этом этапе.

Event-driven программирование, как следует из названия, является формой программирования, которая связана с событиями и основана на них. Всякий раз, когда происходит событие, на главный сервер отправляются обратные вызовы, которые в свою очередь извлекают информацию, необходимую для этого конкретного события.

Вопрос 8: В чем смысл однопоточности Node.JS?

Вы, вероятно, могли бы сказать, что это один из самых сложных вопросов, так как он требует, чтобы вы знали как преимущества однопоточности, так и что это такое на самом деле.

Однопоточность позволяет Node JS выполнять асинхронную обработку. Если вы работаете с веб-загрузкой по умолчанию, однопоточность обеспечивает более плавный и быстрый рабочий процесс – это именно то, что ищут веб-разработчики!

Вопрос 9: Что такое worker processes?

Worker processes – это просто те процессы, которые выполняются в фоновом режиме, пока вы делаете что-то еще. Они могут отправлять электронные письма, устанавливать переменные и так далее. Они чрезвычайно полезны, поскольку экономят много времени веб-разработчикам, выполняя эти однообразные задачи.

Вопрос 10: Что такое Express JS?

Это еще один вопрос об интервью на Node JS, который не имеет прямого отношения к какой-либо функции Node. Однако по-прежнему важно знать, что такое Node JS Express, поскольку он явно разработан для Node JS.

Node JS Express – это облегченный фреймворк, созданный, чтобы помочь Node справиться с некоторыми из наиболее утомительных задач веб-разработки. Это отличная помощь в разработке веб-страниц и мобильных приложений.

Продвинутые вопросы про Node JS

Теперь, когда мы рассмотрели некоторые популярные вопросы для интервью о Node.JS для начинающих, давайте перейдем к вопросам и ответам на вопросы Node JS для опытных веб-разработчиков.

Эти вопросы не будут шоком или чем-то еще – ваши интервьюеры, вероятно, не будут просить вас создать веб-страницу с нуля во время вашего собеседования. Тем не менее, вам придется показать продвинутые знания, ответив на некоторые из этих вопросов – в конце концов, они называются продвинутыми не без причины!

Вопрос 1: Что такое demultiplexer?

Хотя это просто вопрос из категории «что такое…?», Он действительно относится к этому разделу продвинутых вопросов для интервью о Node JS. Это не тот термин, с которым вы бы часто сталкивались, особенно если вы только начинаете работать с Node JS.

Демультиплексор (demultiplexer) является интерфейсом выдачи уведомлений в узле JS. Он используется для сбора информации о конкретных событиях и формирования квестов, обеспечивая тем самым так называемый Event Que.

Вопрос 2: Что такое REPL и что он делает?

REPL сокращается до «Чтение, оценка, печать, цикл (Read, Evaluate, Print, Loop)». Эта оболочка используется для выполнения определенных операторов JavaScript.

Вопрос 3: В чем разница между блокирующими и неблокирующими функциями?

Когда вы запускаете функцию блокировки, все остальные части кода не применяются до тех пор, пока не будет завершено определенное, назначенное событие ввода / вывода. В отличие от этого, неблокирующие функции позволяют разработчикам выполнять несколько задач (поддерживать работоспособность нескольких различных кодов), одновременно выполняя ряд событий ввода-вывода.

Вопрос 4: Есть ли у Node JS подветви?

Некоторые вопросы о Node.JS могут вас подловить на ровном месте – это как раз один из них.

Если ваш первоначальный ответ был «нет», вы, к сожалению, ошибаетесь. Хотя Node JS является однопоточным сервисом, у него все еще есть дочерние потоки – он просто не отображает их разработчику. Так что следите за такими хитрыми вопросами!

Мастер Йода рекомендует:  Еще 6 расширенных сниппетов стало доступно

Вопрос 5: Как называется имплементация безопасности в Node JS?

Основные из них (но не ограничиваются ими) это аутентификации и обработку ошибок. Эти два метода чаще всего связаны с управлением безопасностью в Node JS – и они, похоже, работают хорошо!

Обобщение

Мы подошли к концу статьи «Вопросы на интервью о Node.JS». В этом уроке нам удалось охватить как базовые вопросы, так и продвинутые – и все за один раз!

Если вы ищете работу в качестве специализированного веб-разработчика Node JS, вам следует хорошо изучить эти вопросы и ответы, представленные в этом руководстве. Постарайтесь запомнить информацию, но в то же время подумайте об этом сами – ваши работодатели быстро потеряют в вас интерес, если заметят, что все, что вы делаете, – это повторяете Node JS уроки и не имеете собственных навыков критического мышления.

Попробуйте ответить на вопросы шире, предоставив исчерпывающие ответы, которые не только ответят на вопрос, но также расширят тему и продемонстрируют вашу компетентность в области веб-разработки на Node JS. Однако ваши выражения должны быть короткими и понятными – двух-трех предложений более чем достаточно. Не касайтесь однопоточных процессов или разработки на стороне сервера – вы получите возможность проявить свою страсть, как только получите работу.

Заключение

Node.JS – действительно один из самых полезных инструментов веб-разработки в последнее время. Он основан на JavaScript и позволяет быть гибким и легко адаптируемым к большинству сценариев веб-разработки.

Если вы хотите получить совершенно новую работу или улучшить свою уже существующую карьеру веб-разработчика Node JS, вам нужно будет знать, что вас могут спросить, также немного больше, например о Node JS Express. Если вы изучите вопросы и ответы (и их варианты), представленные в этом руководстве, вы должны получить довольно хорошее представление о том, что вы можете ожидать от собеседования.

Я надеюсь, что вы сможете масштабировать свою карьеру и преуспеть в собеседовании! Удачи!

QA дайджест #33: инструменты тестирования на JS, 12 крупнейших программных сбоев 2020 года и перевод книги «Node Hero»

Меня зовут Максим, я работаю тестировщиком ПО, с интересом слежу за событиями в мире тестирования и IT. Самое полезное собираю вместе и с радостью делюсь с вами. Приятного чтения! 🙂

Почитать

12 крупнейших программных сбоев 2020 года

Шесть вещей, которые не стоит делать, говоря о тестировании

Ничего не забыть: универсальная схема для тестирования веб-приложений

TOП-10. Разбор лучших докладов в свободном доступе. Heisenbug 2020 Moscow

10 причин, почему вы не профессиональный тестировщик. Часть 1. Часть 2.

Тест-кейсы — это не тестирование: движение к культуре производительности тестирования

QA Guild — подкасты на тему тестирования и около него

Подробное рассмотрение каждого уровня пирамиды тестирования

Scrum vs Kanban: в чем разница и что выбрать?

Управление трафиком с использованием Fiddler

Подборка интересных видеодокладов с темой «Тестовая труба шатать»

Автоматизация


Инструменты для тестирования JavaScript-проектов

Путеводитель по инструментам автотестирования мобильных приложений

Kukumber — это Cucumber только на Kotlin

Селекторы CSS и их применение в автоматизации тестирования ПО

Инструменты для тестирования с помощью BDD на C#

Akita — BDD библиотека шагов для тестирования на основе cucumber и selenide

Разворачиваем автоматизацию за пару часов: PHPUnit, Selenium, Composer

Unit-тестирование скриншотами: преодолеваем звуковой барьер. Расшифровка доклада

Самое безопасное приложение на сегодняшний день. Но тоже не идеальное, почитайте Issues и Pull requests.

U — User experience. То чувство, когда ты можешь потратить кучу времени на дизайн, разработку и тестирование системы, но всегда найдется пользователь, который при определенных условиях сможет удивить.

Автотесты старого отлаженного проекта после добавления нового функционала:

И снова рубрика «2 юнит-теста, 0 интеграционных»:

Спасибо Егору Муратову за интересные материалы!

Все желающие делиться интересным — пишите на почту Данный адрес e-mail защищен от спам-ботов, Вам необходимо включить Javascript для его просмотра. , обсудим, опубликуем, скажем, спасибо 🙂

Приступая к работе с Node.js и bcrypt

26.11.2015 в 18:28

Для тех из вас, кто ищет безопасный способ хранения паролей пользователей в вашем Node.js приложении, смотрите далее!

Этот npm пакет использует UNIX библиотеку bcrypt, написанную в 1999 году. Это позволяет хэшировать и шифровать конфиденциальные данные, такие как пароли пользователей, перед их сохранением в базу данных.

Давайте проверим на примере!

Во-первых, мы установим bcrypt и сохраним его в текущем проекте:

Затем, внутри вашего приложения, создадим соль и воспользуемся функцией hashSync чтобы превратить обычный текст в зашифрованный хэш пароля.

И последнее, всякий раз, когда вам нужно вытащить пароль из базы данных и проверить его для пользователя (например, когда он пытается снова войти в систему) просто сделать что-то вроде этого:

Node Hero — руководство по безопасности Node.js

В последнее время почти каждую неделю мы видим новости о какой-нибудь серьёзной бреши в безопасности — чего стоят только LinkedIn и MySpace. В ходе атак произошла утечка большого количества пользовательских данных и, как следствие, пострадала репутация компании. Изучение проблем безопасности также показало, что в некоторых отраслях тикеты к багам открыты в среднем по 18 месяцев.

Эту ситуацию необходимо исправить. Если вы разрабатываете программное обеспечение, забота о безопасности — часть вашей работы.

Правила безопасного кода

Правило 1: не используйте eval

Функция eval() может сделать ваше приложение уязвимым для инъекций произвольного кода. Постарайтесь не использовать её, но если это всё-таки необходимо, никогда не передавайте чистый пользовательский ввод в eval() .

Правило 2: всегда используйте режим «use strict»

С use strict вы можете использовать строгий «вариант» JavaScript. Это позволяет выявлять некоторые скрытые ошибки и отображать их.

Правило 3: обрабатывайте ошибки аккуратно

В процессе обработки исключений из вашего приложения может «утечь» довольно важная информация о внутренней структуре, например X-Powered-By:Express .

Данные трассировки стека сами по себе не являются уязвимостью, однако зачастую могут раскрывать информацию, интересующую хакеров. Предоставлять отладочную информацию как результат, генерируемый в случае ошибки, считается плохой практикой. Следует всегда записывать её в логи и скрывать от пользователя.

Правило 4: делайте статический анализ кода

Статический анализ кода вашего приложения поможет отловить большое количество ошибок. Для этого рекомендуется использовать ESLint вместе с Standard code style.

Правило 5: не запускайте процессы с правами суперпользователя

К сожалению, разработчики часто запускают свои приложения с правами суперпользователя, чтобы использовать порты 80 и 443.
Это неправильно. В случае ошибки или бага процесс может положить всю систему, поскольку ему предоставлен доступ ко всем её возможностям.

Вместо этого вы можете настроить HTTP-сервер или прокси для перенаправления запроса. Это может быть nginx или Apache. Чтобы узнать больше, можете ознакомиться со статьёй Operating Node.js in Production.

Правило 6: настройте обязательные HTTP-заголовки

Существуют несколько относящихся к безопасности HTTP-заголовков, которые стоит установить:

  • Strict-Transport-Security делает обязательным безопасные (HTTP через SSL/TLS) соединения с сервером;
  • X-Frame-Options предоставляет защиту от кликджекинга;
  • X-XSS-Protection включает фильтр межсайтового скриптинга (XSS), встроенный в большинство современных браузеров;
  • X-Content-Type-Options предотвращает MIME-сниффинг ответа без декларированного Content-Type;
  • Content-Security-Policy предотвращает широкий спектр атак, включая XSS и другие межсайтовые инъекции.

В Node.js это просто сделать, используя модуль Helmet:

Правило 7: корректно управляйте сессиями

Приведённые ниже флаги должны быть установлены для всех куки:

  • secure — сообщает браузеру, что нужно отправлять куки только если запрос отправляется через HTTPS;
  • HttpOnly — используется для помощи в предотвращении атак типа XSS, так как не даёт доступ к куки через JavaScript.

Правило 8: настройка ограничений для куки

Следующие флаги также должны использоваться, если вы работаете с куки:

  • domain — используется для сравнения домена, записанного в куки, и домена в URL. Если он совпадает или является субдоменом, то следующим будет проверен атрибут path ;
  • path — в дополнение к domain для куки может быть задан URL. Если domain и path совпадают, куки считаются валидными и будут отправлены в запросе;
  • expires — используется для установки срока действия куки.

В Node.js вы можете запросто создавать куки, используя пакет cookies, но это достаточно низкоуровневая фича, так что скорее всего вы просто воспользуетесь оболочкой вроде cookie-session.

Инструменты

Правило 9: поиск уязвимостей с Retire.js

Главная цель Retire.js — помочь обнаружить уязвимые версии модулей.

Просто установите его:

После этого использование команды retire позволит обнаружить уязвимости в директории node_modules .

Node.js для начинающих

О проекте

Цель данного документа — помочь вам начать разработку приложений на Node.js и научить всему, что необходимо знать о «продвинутом» JavaScript. Это больше, чем обычный «Hello world»-туториал.

Статус

Вы читаете финальную версию этой книги, в обновлениях исправляются только ошибки или отражаются изменения в новых версиях Node.js. Последнее обновление 12 Февраля 2012.

Код примеров этой книги тестировался на Node.js версии 0.8.8 (проверено по англ. версии —прим.перев.).

Целевая аудитория

Вероятно, документ будет полезен читателям с базовыми знаниями, примерно, как у меня: опыт работы хотя бы с одним объектно-ориентированным языком, таким как Ruby, Python, PHP или Java, небольшой опыт в Javascript и полный новичок в Node.js.

Документ рассчитан на разработчиков, уже знакомых с другими языками программирования. Это значит, что здесь не приводится объяснение действительно базовых вещей, таких как типы данных, переменные, управляющие структуры и т. д. Вы должные разбираться в этих понятиях, чтобы понимать эту книгу.

Однако, поскольку функции и объекты в JavaScript отличаются от своих аналогов в других языках, они будут описаны достаточно подробно.

Структура учебника

Прочитав данный документ до конца, вы сможете создать веб-приложение, которое позволит пользователям просматривать веб-страницы и загружать файлы.

Это, конечно, не изменит мир, но мы будем стараться и научимся писать не просто куски кода, которых «достаточно», чтобы сделать это возможным, но и создадим простой, полноценный framework для чистого разделения различных аспектов вашего приложения. Скоро вы увидите, что я имею в виду.


Мы начнём с выяснения того, чем JavaScript в Node.js отличается от JavaScript в браузере.

Далее, мы остановимся на написании традиционного «Hello world»-приложения, которое является наиболее простым примером «что-то делающего» кода Node.js.

Тогда мы обсудим, какое «реальное» приложение мы хотим создать, проанализируем компоненты, которые необходимо реализовать для написания данного приложения, и начнём работать над каждым из них, шаг за шагом.

Как и было обещано, по пути мы узнаем о некоторых продвинутых понятиях JavaScript, о том как их использовать и посмотрим, почему разумно использовать эти понятия вместо привычных нам в других языках программирования.

Исходный код законченного приложения доступен в the NodeBeginnerBook Github репозитории.

JavaScript и Node.js

JavaScript и Вы

До того как мы поговорим о технических вещах, позвольте занять некоторое время и поговорить о вас и ваших отношениях с JavaScript. Эта глава позволит вам понять, имеет ли смысл читать дальше.

Скорее всего, как и в моем случае, вы начали свой путь в веб-разработке с написания простых статических HTML-документов. Вместе с этим, вы познакомились с веселой штукой, называемой JavaScript, но использовали его исключительно в простых случаях, добавляя интерактивности на ваши веб-странички.

Что вы хотели узнать — так это действительно полезные вещи; вы хотели знать, как создать сложный сайт. Для этого вы изучали PHP, Ruby, Java и начинали писать backend-код.

Тем не менее, вы постоянно следили за JavaScript, вы видели, что с появлениям JQuery, Prototype и других фреймворков этот язык стал больше, чем просто window.open().

Однако, это всё ещё относилось к frontend-разработке. Конечно, jQuery — очень мощный инструмент, но всякий раз, когда вы приправляли ваш сайт разными jQuery-«фишками», в лучшем случае, вы были JavaScript-пользователем нежели JavaScript-разработчиком.

А потом пришел Node.js. JavaScript на сервере: насколько это хорошо?

И вы решили, что пора проверить старый новый JavaScript. Подождите. Написать Node.js приложение — одно дело, а понять, почему оно должно быть написано таким образом, для этого нужно понимать JavaScript. И на этот раз — по-настоящему.

В этом — как раз и проблема. JavaScript живёт двумя, может даже тремя разными жизнями: весёлый маленький DHMTL-помощник из середины 90-х годов, более серьезный frontend-инструмент в лице jQuery и наконец серверный (server-side, backend) JavaScript. По этой причине не так просто найти информацию, которая поможет вам познать правильный JavaScript, пригодный для написания Node.js приложения в манере, дающий ощущение, что вы не просто использовали JavaScript, а действительно разрабатывали на JavaScript.

Это — наиболее правильный подход. Вы — уже опытный разработчик, вы не хотите изучать новые технологии поверхностно, просто валяя дурака. Вы хотите быть уверенным, что вы подходите к проблеме под правильным углом.

Конечно, существует отличная документация по Node.js, но её зачастую недостаточно. Нужно руководство.

Моя цель заключается в обеспечении вас руководством.

Предупреждение

Существуют действительно отличные специалисты в области JavaScript. Я не из их числа.

Я — действительно, тот парень, о котором написано в предыдущем параграфе. Я знаю кое-что о разработке backend веб-приложений, но я всё ещё новичок в «реальном» JavaScript и всё ещё новичок в Node.js. Я узнал некоторые продвинутые аспекты JavaScript совсем недавно. Я неопытен.

Вот почему эта книга не из разряда «от новичка к эксперту», а скорее «от новичка к продвинутому новичку».

Если всё удастся, то этот документ станет тем руководством, которое я хотел бы иметь, когда начинал в Node.js.

Server-side JavaScript

Первая инкарнация JavaScript жила в теле браузера. Но это всего лишь контекст. Он определяет, что вы можете делать с языком, но не говорит о том, что язык сам по себе может сделать. JavaScript это «полноценный» язык: вы можете использовать его в различных контекстах и достичь всего того, что можете достичь с другими «полноценными» языками.

Node.js — действительно, просто другой контекст: он позволяет вам запускать JavaScript-код вне браузера.

Чтобы ваш JavaScript код выполнился на вычислительной машине вне браузера (на backend), он должен быть интерпретирован и, конечно же, выполнен. Именно это и делает Node.js. Для этого он использует движок V8 VM от Google — ту же самую среду исполнения для JavaScript, которую использует браузер Google Chrome.

Кроме того, Node.js поставляется со множеством полезных модулей, так что вам не придется писать всё с нуля, как, например, вывод строки в консоль.

Таким образом, Node.js состоит из 2 вещей: среды исполнения и полезных библиотек.

Для того чтобы их использовать, вам необходимо установить Node.js. Вместо повторения всего процесса установки здесь, я просто приглашу вас посетить официальную инструкцию по инсталляции. Пожалуйста, вернитесь обратно после успешной установки.

«Hello world»

Хорошо, давайте пойдём сразу с места в карьер и напишем наше первое Node.js-приложение: «Hello world».

Откройте ваш любимый редактор и создайте файл под названием helloworld.js. Мы хотим вывести строку «Hello world» в консоль, для этого пишем следующий код:

Сохраняем файл и выполняем его посредством Node.js:

Это должно вывести Hello World на наш терминал.

Ладно, всё это скучно, правда? Давайте напишем что-нибудь полезное.

Полномасштабное веб-приложение с Node.js

Что должно делать наше приложение

Возьмём что-нибудь попроще, но приближенное к реальности:

  • Пользователь должен иметь возможность использовать наше приложение с браузером;
  • Пользователь должен видеть страницу приветствия по адресу http://domain/start;
  • Когда запрашивается http://domain/upload, пользователь должен иметь возможность загрузить картинку со своего компьютера и просмотреть её в своем браузере.

Вполне достаточно. Конечно, вы могли бы достичь этой цели, немного погуглив и поговнокодив. Но это не то, что нам нужно.

Кроме того, мы не хотим писать только простой код для достижения цели, каким бы он элегантным и корректным ни был. Мы будем интенсивно наращивать больше абстракции, чем это необходимо, чтобы понять как создавать более сложные Node.js-приложения.

Задачи

Давайте проанализируем наше приложение. Что нужно, чтобы его реализовать:

  • У нас — онлайн веб-приложение, поэтому нам нужен HTTP-сервер;
  • Нашему серверу необходимо обслуживать различные запросы в зависимости от URL, по которому был сделан запрос. Для этого нам нужен какой-нибудь роутер (маршрутизатор), чтобы иметь возможность направлять запросы определенным обработчикам;
  • Для выполнения запросов, пришедших на сервер и направляемые роутером, нам нужны действующие обработчики запросов;
  • Роутер, вероятно, должен иметь дело с разными входящими POST-данными и передавать их обработчикам запросов в удобной форме. Для этого нам нужен какой-нибудь обработчик входных данных;
  • Мы хотим не только обрабатывать запросы, но и показывать пользователю контент по запрошенным URL-адресам, поэтому нам нужна некая логика отображения для обработчиков запросов, чтобы иметь возможность отправлять контент пользовательскому браузеру;
  • Последнее, но не менее важное — пользователь сможет загружать картинки, поэтому нам нужен какой-нибудь обработчик загрузки, который возьмёт на себя заботу о деталях.

Давайте подумаем о том, как бы мы реализовали это на PHP. Скорее всего, типичное решение будет на HTTP-сервере Apache с установленным mod_php5.
Это относится к первому пункту наших задач, то есть, «принимать HTTP-запросы и отправлять готовые веб-странички пользователю» — вещи, которые PHP сам не делает.

С Node.js — немного иначе. Потому что в Node.js мы не только создаем наше приложение, мы также реализуем полноценный HTTP-сервер. Действительно, наше веб-приложение и веб-сервер — в сущности, одно и тоже.

Может показаться, что это приведет к лишней работе, но сейчас вы увидите, что с Node.js это не так.

Давайте просто начнём реализовывать нашу первую задачу — HTTP-сервер.

Реализация приложения

Простой HTTP-сервер

Когда я подошел к моменту создания своего первого «реального» Node.js-приложения, я задался вопросом, как организовать мой код.
Я должен делать всё в одном файле? Большинство учебных пособий в интернете учат как создавать простой HTTP-сервер в Node.js, сохраняя всю логику в одном месте. Что, если я хочу быть уверенным, что мой код останется читабельным по мере реализации всё большего функционала.

На самом деле, достаточно легко отыскивать проблемные участки вашего кода, который разделён на модули.

Это позволяет вам иметь чистый главный файл, который вы исполняете в Node.js и чистые модули, которые могут использоваться главным файлом и друг другом.

Так, давайте создадим главный файл, который мы будем использовать для запуска нашего приложения, и файл модуля, в котором будет находиться наш HTTP-сервер.

Я думаю, это более-менее традиционно назвать главным файлом index.js. А код нашего сервера имеет смысл поместить в файл под названием server.js.

Давайте начнём с модуля сервера. Создайте файл server.js в корневой директории вашего проекта и поместите туда следующий код:

И всё! Вы написали работающий HTTP-сервер. Давайте проверим его, запустив и протестировав. Во-первых, выполните ваш скрипт в Node.js:

Теперь откройте ваш браузер и перейдите по адресу http://localhost:8888/. Должна вывестись веб-страница со строкой «Hello world».

Правда, это довольно интересно? Как насчёт того, чтобы поговорить о том, что здесь происходит и оставить на потом вопрос о том, как организовать наш проект? Я обещаю, мы вернемся к нему.

Анализ нашего HTTP-сервера

Хорошо, тогда давайте проанализируем, что здесь действительно происходит.

Первая строчка подключает http-модуль, который поставляется вместе с Node.js и делает его доступным через переменную http.

Далее, мы вызываем одну из функций http-модуля createServer. Эта функция возвращает объект, имеющий метод listen, принимающий числовое значение порта нашего HTTP-сервера, который необходимо прослушивать.

Пожалуйста, проигнорируйте функцию, которая определяется внутри скобок http.createServer.

Мы могли бы написать код, который запускает наш сервер, прослушивающий порт 8888, так:

Это запустило бы HTTP-сервер прослушивающего порт 8888, который больше ничего не делает (даже не отвечает на входящие запросы).

Действительно интересная (и, если вы привыкли к более консервативным языкам как PHP, довольно странная) часть — это определение функции там, где вы бы ожидали увидеть первый параметр для createServer().

Оказывается, эта определяемая функции и есть первый (и только) параметр, который мы передаём в createServer() при вызове. Потому что в JavaScript функции могут быть переданы как параметр в другую функцию.


Передача функций в качестве параметра

Вы можете в качестве примера сделать что-то подобное:

Разберите пример внимательно! Здесь мы передаём функцию say как первый параметр функции execute. Не значение, которое возвращает функция say, а саму функцию say!

Таким образом, say становится локальной переменной someFunction внутри execute и execute может вызвать функцию в этой переменной вот так: someFunction() (то есть, добавив скобки).

Конечно же, так как say принимает один параметр (word), execute может передать какое-либо значение в качестве этого параметра, когда вызывает someFunction.

Мы можем, что мы и сделали, передать функцию как параметр в другую функцию. Но мы не обязаны применять этот косвенный способ, когда сначала определяется функция, а потом передаётся как параметр. Мы можем определить и передать функцию как параметр в другую функцию прямо на месте:

Мы определяем функцию, которую хотим передать в execute, прямо там, где у execute должен быть первый параметр.

Из-за того, что нам даже не надо давать имя этой функции, её называют анонимная функция.

Это первый проблеск, который я называю «продвинутый» JavaScript, но давайте всё по порядку. А сейчас давайте просто примем то, что в JavaScript мы можем передать функцию как параметр, когда вызываем другую функцию. Мы можем сделать это путём присвоения нашей функции переменной, которую му передаем, или путём определения функции для передачи на месте.

Как анонимная функция делает наш HTTP-сервер рабочим

С этими знаниями давайте вернемся назад к нашему минималистичному HTTP-серверу:

Сейчас должно быть ясно, что мы здесь делаем: передаём в функцию createServer анонимную функцию.

Мы можем добиться того же самого через рефакторинг нашего кода:

Может сейчас самое время спросить: Почему мы это делаем так?

Событийно-ориентированные обратные вызовы

Ответ на вопрос a) не так легко дать (по крайней мере для меня), и b) кроется в самой природе работы Node.js — это событийно-ориентированность, то, благодаря чему он работает так быстро.

Мастер Йода рекомендует:  Где можно бесплатно скачать обои для Android

Возможно, вы захотите занять немного своего времени и почитать отличный пост Felix Geisendörfer Понимание node.js, чтобы прояснить этот момент.

Все сводится к тому факту, что Node.js работает событийно-ориентированно. Ах да, я тоже до конца не понимаю, что это значит. Но я постараюсь объяснить, почему это так важно для тех, кто хочет писать веб-приложения в Node.js.

Когда вызываем метод http.createServer, мы, конечно, не только хотим иметь сервер, слушающий какой-то порт. Мы также хотим что-нибудь сделать, когда приходит HTTP-запрос на этот сервер.

Проблема состоит в асинхронности: запрос происходит в любой момент времени, в то время как у нас только один процесс, в котором запущен наш сервер.

Когда пишем PHP-приложения, мы не беспокоимся обо всем этом: всякий раз, когда приходит HTTP-запрос, веб-сервер (обычно Apache) ответвляет новый процесс специально для этого запроса и запускает соответствующий PHP-скрипт с нуля, который выполняется от начала до конца.

Когда приходит новый запрос на порт 8888, относительно потоков управления, мы находимся в середине нашей Node.js-программы. Как это понять, чтоб не помешаться?

Это как раз то, где событийно-ориентированный дизайн Node.js/JavaScript на самом деле помогает. Нам надо узнать некоторые новые понятия, чтобы досконально понять всё это.

Мы создаем сервер и передаём функцию в созданный им метод. Всякий раз, когда наш сервер получает запрос, переданная нами функция будет вызываться.

Мы не знаем, когда это произойдет, но у нас теперь есть место, где можем обрабатывать входящий запрос. Это наша переданная функция и не имеет значения, определили ли мы её сначала или передали анонимно.

Этот принцип называется обратный вызов или callback. Мы передаём в некоторый метод функцию и этот метод исполняет её, когда происходит связанное с методом событие.

По крайней мере для меня, это заняло некоторое время, чтобы понять. Просто почитайте блог Felix Geisendörfer снова, если вы всё ещё не уверены.

Давайте немного поиграем с этим новым понятием. Можем ли мы доказать, что наш код продолжает работать после создания сервера, даже если нет HTTP-запроса и callback-функция, переданная нами, не вызывается? Давайте попробуем:

Обратите внимание, что я использую console.log для вывода текста «Request received.», когда срабатывает функция onRequest (наш callback), а текст «Server has started.» — сразу после запуска HTTP-сервера.

Когда мы запустим этот код (как обычно, node server.js), он тут же выведет в командной строке «Server has started.». Всякий раз, когда мы делаем запрос нашему серверу (через переход по адресу http://localhost:8888/ в нашем браузере), в командной строке выводится сообщение «Request received.».

Объектно-ориентированный асинхронный серверный JavaScript с callback-ми в действии 🙂

(Обратите внимание, что наш сервер, возможно, будет выводить «Request received.» в консоль 2 раза при открытии страницы в браузере. Это происходит из-за того, что большинство браузеров будут пытаться загрузить фавикон по адресу http://localhost:8888/favicon.ico при запросе http://localhost:8888/)

Как наш сервер обрабатывает запросы

Хорошо, давайте быстро проанализируем остальной код сервера внутри тела нашей callback-функции onRequest().

Когда callback запускается и наша функция onRequest() срабатывает, в неё передаются 2 параметра: request и response.

Они являются объектами и вы можете использовать их методы для обработки пришедшего HTTP-запроса и ответа на запрос (то есть, просто что-то посылать по проводам обратно в браузер, который запрашивал ваш сервер).

И наш код делает именно это: Всякий раз, когда запрос получен, он использует функцию response.writeHead() для отправки HTTP-статуса 200 и Content-Type в заголовке HTTP-ответа, а функцию Response.Write() для отправки текста «Hello World» в теле HTTP-ответа.

И последнее, мы вызываем response.end() чтобы завершить наш ответ.

На данный момент, мы не заботимся о деталях запроса, поэтому мы не используем объект request полностью.

Выбор места для нашего серверного модуля

Я обещал, что мы вернёмся к организации нашего приложения. У нас есть код очень простого HTTP-сервера в файле server.js и я упоминал, что общепринято иметь главный файл с названием index.js, который используется для начальной загрузки и запуска нашего приложения, путём использования других модулей приложения (таких как наш модуль HTTP-сервера в server.js).

Давайте поговорим о том, как сделать server.js настоящим Node.js-модулем, чтобы его можно было использовать в нашем главном файле index.js.

Как вы могли заметить, мы уже использовали модули в нашем коде:

Где-то внутри Node.js живёт модуль под названием «http» и мы можем использовать его в нашем коде, путём подключения и присвоения его результата локальной переменной.

Это делает нашу локальную переменную объектом, содержащим в себе все публичные методы модуля http.

Общепринитая практика — использовать имя модуля для имени локальной переменной, но мы свободны в своём выборе делать, как нам нравится:

Теперь понятно, как использовать внутренние модули Node.js. А как создать свой собственный модуль и как его использовать?

Давайте выясним это, превратив наш скрипт server.js в настоящий модуль.

Оказывается, нам не надо менять слишком многое. Создание модуля означает, что нам нужно экспортировать какую-либо функциональность этого модуля в скрипт, который его вызывает.

Сейчас функционал нашего HTTP-сервера надо экспортировать, что довольно просто: скрипты, подключающие наш модуль сервера, просто запускают сервер.

Чтобы сделать это возможным, поместим код нашего сервера в функцию под названием start и будем экспортировать эту функцию:

Теперь мы можем создать наш основной файл index.js, и запускать наш HTTP-сервер там, хотя код для сервера находится всё ещё в файле server.js.

Создаём файл index.js со следующим содержимым:

Как вы могли видеть, мы можем использовать модуль сервера просто как внешний модуль: вызвав этот файл и определив для него переменную, экспортированные функции становятся доступны нам.

Вот и всё. Сейчас мы можем запустить наше приложение через главный скрипт и он будет делать всё то же самое, что и раньше:

Великолепно — сейчас мы можем помещать различные части нашего приложения в разные файлы и связывать их вместе, посредством превращения их в модули.

До сих пор мы работали только с первой частью нашего приложения: получение HTTP-запроса. Но нам надо что-нибудь с ним делать. В зависимости от URL, запрошенного браузером у нашего сервера, мы должны реагировать по-разному.

В очень простом приложении мы могли бы делать это напрямую внутри callback-функции onRequest(). Но, как я говорил, давайте добавим немного больше абстракции, чтобы сделать наш пример интереснее.

Задание соответствия между разными HTTP-запросами и разными частями нашего кода называется «маршрутизация» («routing», роутинг). Давайте тогда создадим модуль под названием router.

Что необходимо для «роутера»?

Нам нужно иметь возможность скармливать запрошенный URL и возможные добавочные GET- и POST-параметры нашему роутеру и, с учётом этого, роутер должен определять, какой код выполнять (этот код есть третья составляющая нашего приложения: коллекция обработчиков запросов, делающие необходимую работу по определённому запросу).

Итак, нам надо рассматривать HTTP-запрос и извлекать запрошенный URL, а также GET/POST-параметры. Можно поспорить, должен ли этот код быть частью роутера или сервера (или даже своего собственного модуля), но давайте сейчас пока просто сделаем его частью сервера.

Вся необходимая нам информация доступна через объект request, который передается в качестве первого параметра нашей callback-функции onRequest(). Чтобы интерпретировать эту информацию, нам необходимо добавить кое-какие Node.js-модули, а именно url и querystring.

Модуль url поддерживает методы, которые позволяют нам извлекать различные части URL (такие как запрошенный путь (URL path) и строка параметров запроса (query string)), а querystring в свою очередь, используется для парсинга строки параметров запроса (query string):

Конечно, мы также можем использовать querystring для парсинга тела POST-запроса, как мы увидим далее.

Давайте сейчас добавим в нашу функцию onRequest() логику, необходимую для извлечения пути URL (pathname), запрошенного браузером:

Замечательно. Теперь наше приложение может различать запросы на основе запрошенного пути URL. Это позволяет нам направлять запросы нашим обработчикам запросов в зависимости от пути URL, используя наш роутер. Таким образом, мы можем строить наше приложение RESTful-путём, потому что теперь можем реализовать интерфейс, следующий принципам Идентификации ресурсов (смотри статью в википедии REST для справки).

В контексте нашего приложения, это означает, что мы сможем обрабатывать запросы с URL /start и /upload разными частями нашего кода. Скоро мы увидим, как всё соединяется вместе.

Теперь самое время написать наш роутер. Создаём новый файл под названием router.js со следующим содержимым:

Конечно этот код ничего не делает, но сейчас этого достаточно. Давайте сначала посмотрим, как скрепить этот роутер с нашим сервером до того как поместим больше логики в роутер.

Нашему HTTP-серверу необходимо знать о роутере и использовать его. Мы могли бы жёстко прописать эти зависимости в нашем сервере, но, так как мы знаем только сложные способы из нашего опыта в других языках программирования, мы сделаем слабосвязанную зависимость сервера и роутера через внедрение этих зависимостей (можете почитать отличный пост Мартина Фаулера по внедрениям зависимости на английском языке или статью в Википедии на русском языке для дополнительной информации).


Для начала, расширим нашу серверную функцию start(), чтобы дать нам возможность передавать функцию route() как параметр:

Теперь расширим наш index.js соответственно, то есть внедрим функцию route() нашего роутера в сервер:

Мы опять передаём функцию, которая не является чем-то новым для нас.

Если мы сейчас запустим наше приложение (node index.js, как обычно) и запросим какой-нибудь URL, вы сможете увидеть в консоли, что наш HTTP-сервер использует наш роутер и передает ему запрошенный pathname:

(Я опустил слегка надоедливый вывод для запроса /favicon.ico)

Исполнение королевских постановлений в царстве глаголов

Позвольте мне ещё раз побродить вокруг и около и снова поговорить о функциональном программировании.

Передача функций связана не только с техническими соображениями. Относительно разработки программного обеспечения это — почти философия. Просто подумайте: в нашем index-файле мы могли бы передавать объект router в наш сервер и сервер мог бы вызывать функцию route этого объекта.

Этим способом мы бы передавали нечто и сервер использовал бы это нечто, чтобы сделать что-то. Эй, роутер, не могли бы вы показать мне маршрут?

Но серверу не нужно нечто. Ему нужно только получить что-то сделанное, а чтоб получить уже что-то сделанное, вам не нужно нечто совсем, вам необходимо действие. Вам не нужно существительное, вам нужен глагол.

Понимание фундаментальных умозаключений, которые лежат в основе этой идеи, позволило мне действительно понять функциональное программирование.

Я понял это, когда читал шедевр Стива Йегге Execution in the Kingdom of Nouns (частичный перевод на русский Исполнение королевских постановлений в царстве существительных). Почитайте это обязательно. Это одно из лучших произведений о программировании, которое я когда-либо имел удовольствие встречать.

Роутинг реальных обработчиков запроса

Вернёмся к делу. Наш HTTP-сервер и наш роутер запросов сейчас — лучшие друзья, и общаются друг с другом так, как мы хотели.

Конечно, этого недостаточно. «Роутинг» подразумевает, что мы хотим обрабатывать запросы на разные URL по-разному. Мы хотели бы иметь «бизнес-логику» для запросов к /start в одной функции, а для запросов к /upload в другой.

Прямо сейчас мы закончим с нашим роутером. Роутер не место на самом деле, чтобы делать что-то с запросами, потому что будет плохо масштабироваться, а наше приложение будет становиться сложнее.

Давайте эти функции, в которые направляются запросы, назовём обработчиками запросов. И давайте возьмёмся за них сейчас, потому что делать что-либо с роутером сейчас пока не имеет смысла.

Новая часть приложения, новый модуль — здесь никаких сюрпризов. Создадим модуль под названием requestHandlers, добавим болванки функций для каждого обработчика запроса и экспортируем их как методы модуля:

Это позволяет нам связать обработчики запросов с роутером, давая нашему роутеру что-нибудь маршрутизировать.

В этот момент мы должны принять решение: захардкодить использование модуля requestHandlers в роутере или мы хотим ещё немного внедрения зависимостей? Хотя внедрение зависимостей, как и любой другой паттерн, не должен использоваться только ради того, чтобы быть использованным, в нашем случае имеет смысл сделать слабосвязанную пару роутера и обработчиков запроса и, таким образом, сделать роутер действительно многоразовым.

Это означает, что нам нужно передавать обработчики запросов из нашего сервера в наш роутер, но это немного неправильно, поэтому мы должны пройти весь путь и передать их в сервер из нашего главного файла, а также — оттуда передавать в роутер.

Как мы собираемся передать их? Сейчас у нас есть два обработчика, но в реальном приложении это число будет увеличиваться и меняться. И мы уверены, что не хотим возиться с роутером каждый раз, когда добавляется новый URL + обработчик запроса. И какие-нибудь if запрос == x then вызвать обработчик y в роутере будут более чем убоги.

Переменное число элементов и каждому соответствует строка (запрашиваемый URL)? Так, похоже на ассоциативный массив, это наиболее подходящее.

Это решение немного разочаровывает тем фактом, что JavaScript не поддерживает ассоциативные массивы. Или нет? Оказывается в действительности, если нам нужны ассоциативные массивы, мы должны использовать объекты!

Об этом есть хорошее введение http://msdn.microsoft.com/en-us/magazine/cc163419.aspx. Позвольте мне процитировать подходящую часть:

В C++ или C#, когда мы говорим об объектах, мы ссылаемся на экземпляры классов или структуры. Объекты имеют разные свойства и методы, в зависимости от шаблонов (классов), экземплярами которых они являются. Но не в случае с JavaScript-объектами. В JavaScript, объекты — это просто коллекция пар имя/значение — JavaScript-объект — это как словарь со строковыми ключами.

Если JavaScript-объекты это просто коллекции пар имя/значение, как тогда у них могут быть методы? Итак, значения могут быть строками, числами и т.д. или функциями!

Хорошо, наконец-то возвращаемся к нашему коду. Мы решили, что мы хотим передать список из requestHandlers как объект и, для того, чтобы достичь слабое связывание, мы хотим внедрить этот объект в route().

Начнём с добавления объекта в наш главный файл index.js:

Хотя handle — это больше из разряда «нечто» (коллекция обработчиков запроса), я, всё-таки, предлагаю называть его глаголом, потому что в результате это будет функциональное выражение в нашем роутере, как вы скоро увидите.

Как вы можете видеть, это действительно просто — назначать различные URL соответствующему обработчику запроса: просто добавляя пару ключ/значение из «/» и requestHandlers.start, мы можем выразить красивым и аккуратным способом, что не только запросы к «/start», но также и запросы к «/» должны быть обработаны обработчиком start.

После определения объекта мы передали его в сервер как дополнительный параметр. Изменим наш server.js, чтобы использовать его:

Мы добавили параметр handle в функцию start() и передаём объект handle в callback-функцию route() в качестве перового параметра.

Соответственно, изменим функцию route() в нашем файле router.js:

Что мы здесь делаем — мы проверяем, существует ли обработчик запроса для данного пути, и если существует, просто вызываем соответствующую функцию. Из-за того, что мы имеем доступ к нашим функциям обработчиков запроса из нашего объекта просто, как если бы имели доступ к элементу ассоциативного массива, у нас есть это прекрасное выражение handle[pathname]();, о котором говорилось ранее: «Пожалуйста, handle этот pathname».

Хорошо, это всё, что нужно, чтобы связать сервер, роутер и обработчики запроса вместе! При запуске нашего приложения и запроса http://localhost:8888/start в браузере, мы можем убедиться, что надлежащий обработчик запроса действительно был вызван:

Так же открываем http://localhost:8888/ в нашем браузере и убеждаемся, что эти запросы в самом деле обрабатываются обработчиком запросов start:

Создание ответа обработчиков запроса

Замечательно. Вот только если бы обработчики запроса могли отправлять что-нибудь назад браузеру, было бы ещё лучше, правильно?

Вспомните, «Hello World», который выводит ваш браузер в запрошенной странице, всё ещё исходит от функции onRequest в нашем файле server.js.

«Обработка запроса» подразумевает «ответ на запросы» в конце концов, поэтому необходимо дать возможность нашим обработчикам запроса общаться с браузером так же, как это делает функция onRequest.

Как делать не надо

Прямой подход, который мы захотим использовать как разработчики с опытом в PHP или Ruby, на самом деле ложный: он может прекрасно работать, иметь большой смысл, а потом, когда мы этого не ждём, неожиданно всё развалится.

Под «прямым подходом» я подразумеваю использование в обработчиках запроса return «» для контента, который надо показать пользователю, и отправлять этот ответ в функцию onRequest назад пользователю.

Давайте просто сделаем это и тогда увидим, почему это не такая уж и хорошая идея.

Мы начнём с обработчиков запроса и заставим их возвращать то, что хотели бы показать в браузере. Нам надо изменить requestHandlers.js вот так:

Хорошо. Также, роутер должен вернуть серверу то, что обработчики запроса вернули ему. Поэтому надо отредактировать router.js так:

Как видим, возвращается некоторый текст «404 Not found», если запрос не может быть маршрутизирован.

И самое последнее, но не менее важное, нам нужен рефакторинг нашего сервера, чтобы заставить его отвечать браузеру с контентом обработчиков запроса, возвращаемых через роутер. Трансформируем server.js в:

Если запустим наше написаное приложение, всё будет работать замечательно: запрос http://localhost:8888/start выдаст в браузере результат «Hello Start», запрос http://localhost:8888/upload даст нам «Hello Upload», а http://localhost:8888/foo выведет «404 Not found».

OK, тогда в чём проблема? Короткий ответ: потому что мы столкнемся с проблемами, если один из обработчиков запроса захочет использовать неблокирующую операцию в будущем.

Подробный ответ займёт немного больше времени.

Блокирование и неблокирование

Как было сказано, проблемы будут возникать, когда мы добавим неблокирующие операции в обработчики запроса. Давайте сначала поговорим о блокирующих, а потом уже о неблокирующих операциях.

Вместо того, чтобы объяснять, что такое «блокирование» и «неблокирование», давайте продемонстрируем себе, что произойдёт, если мы добавим блокирующую операцию в наши обработчики запроса.

Для этого модифицируем обработчик запроса start так, чтобы он ждал 10 секунд до того как вернёт свою строку «Hello Start». В JavaScript нет такой штуки как sleep(), поэтому мы будем использовать хитрый хак.

Пожалуйста, измените requestHandlers.js как описано далее:

Просто объясню, что этот код делает: когда функция start() вызвана, Node.js ожидает 10 секунд и только тогда возвращает «Hello Start». Когда вызывается upload(), она выполняется немедленно, как и раньше.

(Конечно, вы уже поняли, вместо засыпания на 10 секунд, в start() могут быть реальные блокирующие операции, такие как сложные длительные вычисления.)

Давайте посмотрим, что поменялось.

Как обычно, нам надо перезапустить сервер. На этот раз я попрошу вас следовать немного более сложному «протоколу», чтобы увидеть, что произошло: во-первых, откройте браузер или таб. В первом окне браузера, введите, пожалуйста, http://localhost:8888/start в адресную строку, но не переходите пока по этому адресу!

В адресную строку второго окна браузера введите http://localhost:8888/upload и снова не переходите по адресу.

Теперь сделайте, как описано далее: нажмите клавишу Enter в первом окне («/start»), а затем быстро переключитесь на второе окно («/upload») и нажмите тоже Enter.

Что вы будете наблюдать: URL /start потребуется 10 секунд для загрузки, как мы и ожидали. Но URL /upload так же потребуется 10 секунд на загрузку, хотя в соответствующем обработчике запроса нет sleep()!

Почему? Потому что start() содержит блокирующую операцию. Like in «it’s blocking everything else from working».

И в этом проблема, потому что, как говорят: «В node всё работает параллельно, за исключением вашего кода».

Это значит, что Node.js может обрабатывать одновременно множество вещей, но при этом не разделяет всё на отдельные потоки — Node.js однопоточный. Он делает это, запуская цикл событий, а мы, разработчики, можем использовать это — мы должны избегать блокирующих операций, где это возможно, и использовать неблокирующие операции вместо них.

Но для этого нам надо использовать обратные вызовы, передавая функции внутри тех функций, которые могут сделать то, что занимает некоторое время (как например sleep() на 10 секунд или запрос к базе данных или какое-то дорогостоящее вычисление.)

Таким образом, мы как бы говорим: «Эй, возможноДолгаяФункция(), пожалуйста, сделай вот это, но я, однопотоковый Node.js, не собираюсь ждать здесь, пока ты закончишь, я продолжу выполнение строчек кода ниже тебя, а ты возьми пока вот эту функцию callbackFunction() и вызови её, когда всё сделаешь. Спасибо!»

(Если хотите почитать об этом более подробно, пожалуйста посмотрите пост Mixu на Understanding the node.js event loop.)


И мы сейчас увидим, почему способ, которым мы создали «обработчик запроса обрабатывающий ответ» в нашем приложении не позволит правильно использовать неблокирующие операции.

Ещё раз давайте попробуем испытать проблему на своей шкуре, модифицировав наше приложение.

Мы снова используем наш обработчик запроса start. Пожалуйста, измените его следующим образом (файл requestHandlers.js)

Как можно видеть, мы просто внедрили новый модуль Node.js child_process. Мы сделали так, потому что это позволит нам использовать очень простую, но полезную неблокирующую операцию: exec().

Что делает exec() — она выполняет shell-команду внутри Node.js. В этом примере мы собираемся использовать её, чтобы получить список всех файлов в текущей директории («ls -lah»), позволяя нам отобразить этот список в браузере пользователя, запросившего URL /start.

Что делает этот код: создает новую переменную content (с начальным значением «empty»), выполняет «ls -lah», заполняет переменную результатом и возвращает её.

Как обычно, запустим наше приложение и посетим http://localhost:8888/start.

Которая загрузит нам красивую страничку со строкой «empty». Что тут не так?

Ну, как вы уже догадались, exec() делает свою магию в неблокирующий манере. Это хорошая штука, потому что таким образом мы можем выполнять очень дорогостоящие shell-операции (как, например, копирование больших файлов или что-то подобное), не заставляя наше приложение полностью останавливаться, пока блокирующая sleep-операция не выполнится.

Если хотите удостовериться, замените «ls -lah» на более дорогостоящую операцию «find /»).

Но мы не совсем довольны своей элегантной неблокирующей операцией, когда наш браузер не отображает её результат, не так ли?

Давайте тогда пофиксим это. Давайте попытаемся понять, почему текущая архитектура не работает.

Проблемой является то, что exec(), чтобы работать без блокирования, использует callback-функцию.

В нашем примере это анонимная функция, которая передаётся как второй параметр в функцию exec():

И здесь лежит корень нашей проблемы: наш собственный код исполняется синхронно, что означает, что сразу после вызова exec(), Node.js продолжит выполнять return content;. К этому моменту content ещё «empty», из-за того, что callback-функция, переданная в exec(), до сих пор не вызвана — потому что операция exec() асинхронная.

Мастер Йода рекомендует:  Time To Interactive – измеряя пользовательский опыт

Теперь «ls -lah» — очень недорогая и быстрая операция (если только в директории не миллион файлов). Именно поэтому callback вызывается относительно оперативно — но это, всё же, происходит асинхронно.

Использование более дорогостоящих команд делает это более очевидным: «find /» занимает около 1 минуты на моей машине, но если я заменяю «ls -lah» на «find /» в обработчике запроса, то я всё ещё немедленно получаю HTTP-ответ, когда открываю URL /start. Ясно, что exec() делает что-то в фоновом режиме, пока Node.js продолжает исполнять приложение и мы можем предположить, что callback-функция, которую мы передали в exec(), будет вызвана только когда команда «find /» закончит выполняться.

Но как нам достичь нашей цели, то есть, показать пользователю список файлов в текущей директории?

Теперь, после изучения вопроса о том, как делать не надо, давайте обсудим, как заставить наши обработчики запроса реагировать на запросы браузера правильно.

Ответ обработчиков запроса с неблокирующими операциями.

Я употребил фразу «правильный способ». Опасная вещь. Довольно часто не существует единого «правильного способа».

Но одним из возможных решений для этого является, как это часто бывает с Node.js, передача функции внутри. Давайте рассмотрим это.

Сейчас наше приложение способно транспортировать контент (который обработчики запроса хотели бы показать пользователю) от обработчиков запроса к HTTP-серверу, возвращая его через слои приложения (обработчик запроса -> роутер -> сервер).

Наш новый подход заключается в следующем: вместо доставки контента серверу мы будем сервер доставлять к контенту. Чтобы быть более точным, мы будем внедрять объект response (из серверной callback-функции onRequest()) через роутер в обработчики запроса. Обработчики смогут тогда использовать функции этого объекта для ответа на сами запросы.

Достаточно разъяснений. Вот — пошаговый рецепт изменения нашего приложения.

Начнём с нашего server.js:

Вместо ожидания возврата значения от функции route(), мы передаём наш объект response в качестве третьего параметра. Кроме того, мы удалили всякие вызовы методов response из обработчика onRequest(), потому что мы рассчитываем, что route позаботится об этом.

Далее идёт router.js:

Та же схема: вместо ожидания возврата значения от наших обработчиков события, мы передаём объект response.

Если обработчик запроса не может быть использован, мы заботимся об ответе с надлежащим заголовком «404» и телом ответа.

И последнее, но не менее важное, мы модифицируем requestHandlers.js:

Наши функции-обработчики должны принять параметр response и использовать его, чтобы ответить на запрос напрямую.

Обработчик start будет отвечать изнутри анонимного обратного вызова exec(), а обработчик upload будет всё ещё выдавать «Hello Upload», но теперь посредством объекта response.

Если вы запустили наше приложение снова (node index.js), всё должно работать как и ожидалось.

Если хотите убедиться, что дорогостоящая операция в /start больше не будет блокировать запросы на /upload, модифицируйте ваш requestHandlers.js как показано далее:

Благодаря этому, HTTP-запросы к http://localhost:8888/start будут занимать не менее 10 секунд, но запросы к http://localhost:8888/upload будут получать ответ немедленно, даже если /start всё ещё занят вычислениями.

Сделаем что-нибудь полезное

До сих пор мы делали всё прекрасно и изысканно, но мы не создали ничего значимого для клиентов нашего супер-сайта.

Наш сервер, роутер и обработчики запроса находятся на своих местах, таким образом, теперь мы можем начать добавлять контент на наш сайт, который позволяет нашим пользователям выбирать файл, загружать его и просматривать загруженный файл в браузере. Для простоты будем полагать, что через наше приложение будут загружаться и показываться только файлы картинок.

OK, давайте шаг за шагом, но с разъяснением больших техник и принципов JavaScript, и в то же время, давайте немного ускоримся. Автору слишком нравится слушать самого себя.

Здесь «шаг за шагом» означает примерно 2 шага: сначала мы посмотрим как обрабатывать входящие POST-запросы (но не загрузку файла), и на втором шаге мы используем внешний модуль Node.js для обработки загрузки файла. Я выбирал этот подход по двум причинам.

Во-первых, обрабатывать базовые POST-запросы относительно просто в Node.js, но для обучения это — достаточно стоящее упражнение.
Во-вторых, обработка загрузки файла (к примеру, multipart POST-запросы) это не так просто в Node.js, поэтому выходит за рамки этого учебника, но пример использования для этого внешнего модуля имеет смысл включить в учебник для начинающих.

Обработка POST-запросов

Давайте сделаем попроще: предоставим текcтовое поле, которое может быть заполнено пользователем и отправлено на сервер в POST-запросе. После получения и обработки этого запроса мы отобразим содержимое текстового поля.

HTML-код для формы текстового поля должен формировать наш обработчик запроса /start, так давайте сразу же добавим его в файл requestHandlers.js:

Если теперь этот код не выиграет Webby Awards, то я не знаю, какой сможет. Вы должны увидеть эту очень простую форму, когда запросите http://localhost:8888/start в вашем браузере. Если это не так — возможно, вы не перезагрузили приложение.

Я уже слышу вас: помещать содержимое представления прямо в обработчик запроса некрасиво. Тем не менее, я решил не включать этот дополнительный уровень абстракции (то есть, разделение представления и логики) в наш учебник, потому что, я думаю, что это не научит нас чему-нибудь стоящему в контексте JavaScript или Node.js.

Давайте лучше использовать появившееся окно для более интересных проблем, то есть, обработки POST-запроса в нашем обработчике запроса /upload при отправке этой формы пользователем.

Теперь, когда мы стали экспертными новичками, мы уже не удивляемся тому факту, что обработка POST-данных делается в неблокирующей манере, через использование асинхронных callback-ов.

Это имеет смысл, потому что POST-запросы могут быть потенциально очень большими — ничто не мешает пользователю ввести текст размером в несколько мегабайтов. Обработка всего массива данных за один раз может привести к блокирующей операции.

Чтобы сделать весь процесс неблокирующим, Node.js обслуживает POST-данные небольшими порциями, а callback-функции вызываются при определённых событиях. Эти события — data (когда приходит новая порция POST-данных) и end (когда все части данных были получены).

Надо сообщить Node.js, какие функции вызывать, когда эти события произойдут. Это делается путём добавления слушателей (listeners) в объект request, который передаётся в нашу callback-функцию onRequest, когда HTTP-запрос получен.

В основном, это выглядит так:

Возникает вопрос, где реализовать эту логику. В настоящее время мы можем получить доступ к объекту request только в нашем сервере — мы не передаём его в роутер и в обработчики запроса, как делаем это с объектом response.

На мой взгляд, это работа HTTP-сервера — предоставлять приложению все данные из запросов. Поэтому я предлагаю обрабатывать POST-данные прямо в сервере и передавать конечные данные в роутер и обработчики запроса, которые сами решат, что с ними делать.

Таким образом, идея — в том, чтобы поместить обратные вызовы событий data и end в сервер, собирать все куски POST-данных в data и вызывать роутер при получении события end, пока идёт передача собранных порций данных в роутер, который в свою очередь передаёт их в обработчики запроса.

Начинаем с server.js:

Здесь, в основном, мы сделали три вещи: во-первых, определили, что ожидаем полученные данные в кодировке UTF-8, затем добавили слушатель для события «data», который шаг за шагом заполняет нашу новую переменную postData всякий раз, когда прибывает новая порция POST-данных, и далее — переходим к вызову нашего роутера в обратном вызове события end, чтобы убедиться, что вызов происходит, когда все POST-данные собраны. Мы также передаём POST-данные в роутере, потому что они нам понадобятся в обработчиках запроса.

Добавление логирования в консоли для каждой порции полученных данных — возможно, плохая идея для конечного кода (мегабайты POST-данных, помните?), но это имеет смысл, чтобы посмотреть, что происходит.

Я предлагаю немного поиграться с этим. Поместите в текстовое поле сначала немного текста, а потом больше, и вы увидите, что для больших текстов обратный вызов data действительно вызывается несколько раз.

Давайте добавим ещё больше крутизны в наше приложение. На странице /upload мы будем показывать принятый контент. Чтобы сделать это возможным, нам необходимо передавать postData в обработчики запроса. В router.js:

И в requestHandlers.js мы включаем эти данные в нашем ответе обработчика запроса upload:

Вот и всё, теперь мы можем получить POST-данные и использовать их в наших обработчиках запроса.

И последнее по этой теме: то, что мы передаём в роутер и обработчики запроса, является полным телом нашего POST-запроса. Мы, вероятно, захотим использовать индивидуальные поля, составляющие POST-данные, в нашем случае значение поля text.

Мы уже читали про модуль querystring, который поможет нам с этим:

Это всё, что можно сказать про обработку POST-данных в рамках учебника для начинающих.

Обработка загрузки файлов

Давайте примемся за последний пункт нашего списка задач. Мы планировали дать возможность пользователям загружать файлы картинок и отображать загруженные картинки в браузере.

В 90-х это могло бы быть квалифицировано как бизнес модель для IPO, сейчас же этого достаточно, чтобы научить нас двум вещам: как установливать внешнии библиотки Node.js и как их использовать в нашем коде.

Внешний модуль, который мы собираемся использовать, node-formidable от Felix Geisendörfer. Этот модуль поможет нам абстрагироваться от мерзких деталей парсинга входящих файловых данных. В конце концов, обработка входящих файлов это не что иное, как «просто» обработка POST-данных, но, в действительности, дьявол кроется в деталях, поэтому в нашем случае имеет смысл использовать готовое решение.

Чтобы использовать код Феликса, соответствующий модуль Node.js должен быть инсталлирован. На борту Node.js есть собственный менеджер пакетов, называемый NPM. Он позволяет нам инсталировать внешние модули Node.js в очень удобной форме. С учетом установленного Node.js, всё сводится к


в нашей командной строке. Если вы в конце увидели следующее:

. это значит — всё хорошо.

Модуль formidable теперь доступен в нашем коде — всё, что нужно, это просто запросить его как один из тех модулей, которые мы использовали ранее:

По сути, formidable делает форму, отправленную через HTTP POST, доступной для парсинга в Node.js. Всё, что нам надо — это создать новый экземпляр объекта IncomingForm, который является абстракцией отправленной формы и может быть использован для парсинга объекта request нашего HTTP-сервера, для полей и файлов, отправленных через эту форму.

Пример кода со страницы проекта node-formidable показывает, как разные части сочетаются друг с другом:

Если вы поместите этот код в файл и исполните его посредством node, вы сможете отправлять простые формы, включая загрузку фото, и увидите, как организован объект files, который передавался в callback, определенном в вызове form.parse.

Чтобы выполнить последний пункт нашей задачи, мы должны включить логику парсинга форм модуля formidable в структуру нашего кода, плюс ко всему, надо разобраться, как отдавать контент загруженного файла (который сохранен в директории /tmp) браузеру.

Давайте сначала решим последнюю задачу: если имеется файл картинки на вашем локальном диске, что сделать, чтобы передать его браузеру?

Мы, очевидно, собираемся считать содержимое этого файла в наш Node.js-сервер, и неудивительно, что для этого имеется соответствующий модуль под названием fs.

Давайте добавим ещё один обработчик запроса для URL /show, который будет «захардкоженно» показывать содержимое файла /tmp/test.png. Конечно же, имеет смысл в первую очередь поместить реальную png-картинку в этот каталог.

Мы собираемся изменить requestHandlers.js, как показано далее:

Также, надо преобразовать новый обработчик запроса в URL вида /show в файле index.js:

Перезапускаем сервер, открываем http://localhost:8888/show в браузере и видим картинку /tmp/test.png.

Хорошо. Всё, что нам надо теперь — это:

  • добавить поле для загрузки файлов в форму, находящуюся по адресу /start,
  • интегрировать node-formidable в обработчик запроса upload, чтобы сохранять загруженные файлы в /tmp/test.png,
  • внедрить загруженную картинку в HTML, отдаваемый по URL /upload.

Первый шаг — простой. Нам надо добавить тип кодировки multipart/form-data в нашу HTML-форму, удалить текстовое поле, добавить поле загрузки файла и поменять текст кнопки отправки формы на «Upload file». Давайте просто сделаем это в файле requestHandlers.js:

Замечательно. Следующий шаг — немного более сложный, конечно. Первая проблема следующая: мы хотим обрабатывать загрузку файлов в нашем обработчике запроса upload, и тут надо будет передать объект request при вызове form.parse модуля node-formidable.

Но всё, что у нас есть — это объект response и массив postData. Грустно. Похоже, что придётся передавать каждый раз объект request из сервера в роутер и обработчик запроса. Может быть, имеется более элегантное решение, но этот способ может делать работу уже сейчас.

Давайте полностью удалим всё, что касается postData в нашем сервере и обработчиках запроса — он нам не нужен для обработки загрузки файла и, мало того, — даже создает проблему: мы уже «поглотили» события data объекта request в сервере, а следовательно, form.parse, которому так же надо поглащать эти события, не сможет получить больше данных (потому что Node.js не буферизирует данные).

Начнём с server.js — удалим обработку postData и строку с request.setEncoding (node-formidable сам всё сделает) и передадим request в роутер:

Следующий — router.js — мы больше не передаём postData, а вместо этого передаём request:

Теперь объект request может быть использован в функции обработчика запроса upload. node-formidable будет заниматься сохранением загруженного файла в локальный файл /tmp, но, конечно, мы сами должны сделать, чтобы этот файл переименовывался в /tmp/test.png. Да, мы придерживаемся действительно простых вещей и принимаем, что могут загружаться только PNG-картинки.

Имеется небольшая дополнительная сложность в логике переименования: Windows-реализации Node.js не нравится, когда пытаются переименовать существующий файл, вот почему нам необходимо удалять файл в случае ошибки.

Давайте добавим в requestHandlers.js код управления загрузкой файла и переименованием:

Вот и всё. Перезапускаем сервер, и последний пункт нашей задачи реализован. Выбираем локальную PNG-картинку с диска, загружаем на сервер и видим её на нашей веб-страничке.

Выводы и перспективы

Поздравляю, наша миссия выполнена! Мы написали простое, уже полностью готовое web-приложение на Node.js. Мы поговорили о server-side JavaScript, функциональном программировании, блокирующих и неблокирующих операциях, callback-ах, событиях, обычаях, внутренних и внешних модулях и о многом другом.

Конечно, имеется много вещей, которые мы не обсудили: как общаться с базой данных, как писать unit-тесты, как создавать внешние модули, с возможностью инсталяции через NPM или даже что-нибудь простое, например, как обрабатывать GET-запросы.

Но это судьба каждого учебника, предназначенного для начинающих — нельзя расказать о всех аспектах во всех деталях.

Чем хорош Node.js: практика современного веб-программирования

Каждые несколько лет браузер с HTML5 изменяется — это совершенно нормально. Важно выбрать подходящие инструменты.

Чтобы создавать приложения на HTML5, нужно постоянно осваивать новые технологии и инструменты. Браузер с HTML5 — очень изменчивая платформа. Каждые несколько лет всё опять становится с ног на голову, а набор технологий для создания современного приложения изменяется.

Node.js — один из таких «мастхэв»-средств разработки клиентских приложений. Это среда выполнения JavaScript-программ, построенная на JavaScript-движке Chrome V8. Среди прочего, Node.js позволяет запускать написанные на JavaScript программы из командной строки прямо на компьютере. Большинство инструментов разработчика клиентской части рассчитано на применение Node.js.

Почему возник Node.js и что это такое

Язык JavaScript создавался в середине девяностых компанией Mozilla как простой скриптовый язык программирования, встраиваемый в код HTML-страниц. Как вспоминает его автор Брэндан Эйх, разработчики ставили перед собой цель обеспечить «язык для склеивания» составляющих частей веб-ресурса: изображений, плагинов и Java-апплетов, который был бы удобен для веб-дизайнеров и программистов, не обладающих высокой квалификацией. Он создавался для программирования как на стороне клиента, так и на стороне сервера.

Но, как часто бывает, со временем разработчики начали использовать JavaScript совсем иначе, чем было задумано. Самый неправильно понятый в мире язык программирования в итоге стал самым популярным. К настоящему времени он лидирует в качестве средства для разработки веб-приложений на стороне клиента. Это произошло из-за того, что эволюция веба двинулась в сторону интерактивных веб-приложений, хотя Сеть не была изначально предназначена для этого, как не был предназначен и JavaScript. Пришлось приспособиться.

Новый инструментарий для веба

Для новой роли понадобился новый инструментарий. Постепенно JavaScript оброс целой инфраструктурой фреймворков, библиотек, компиляторов и протоколов. В том числе появилось несколько платформ исполнения серверных и клиентских приложений. Node.js — самая популярная из них. Эту платформу выпустил американский программист Райан Дал в 2009 году.

Программная платформа Node.js работает на движке V8, который транслирует JavaScript в машинный код. Грубо говоря, сам Node является приложением C++, которое получает на входе JavaScript-код и выполняет его.

В Node есть собственный интерфейс на C++ для взаимодействия с устройствами ввода-вывода на компьютере. То есть эта платформа фактически превращает JavaScript из специализированного скриптового языка в язык общего назначения. Это означает, что на Node.js вы можете писать любые компьютерные программы.

Событийно-ориентированный подход

Главная особенность Node.js — то, что вместо традиционной модели параллелизма на основе потоков автор выбрал событийно-ориентированный подход. Это такая парадигма программирования, в которой выполнение программ определяется событиями. Например, это действие пользователя, поступление сетевого пакета, сообщение из другой программы и т.д.

Такой подход сильно упрощает программирование некоторых приложений, особенно при реализации удобного интерфейса ввода-вывода (I/O), как у Node.js. По легенде, идея создания Node.js пришла автору, когда он увидел полосу загрузки файлов на Flickr, которая не понимала реального процента загрузки файлов, то есть не имела обратной связи из браузера из-за отсутствия событийной привязки.

С распространением в интернете социальных сетей и других «интерактивных» сайтов резко выросла востребованность Node.js как платформы для приложений, реагирующих на действия пользователя: чатов, игр, инструментов совместной работы — теперь всё это делают на JavaScript с помощью Node.js.

Таким образом, Node.js — это событийно-ориентированный I/O фреймворк на JavaScript. Технические особенности Node.js делают приложения на его основе легковесными и эффективными. Этим и объясняется его огромная популярность.

Разработку языка координирует Фонд Node.js, который финансируется по программе поддержки свободных проектов Linux Foundation. Это свободный распределенный проект, в создании которого на безвозмездной основе участвуют тысячи разработчиков со всего мира.

Как используется Node.js

Node.js представляет собой платформу для написания JavaScript-приложений с использованием внешних библиотек.

Благодаря Node.js написанный для браузера код JavaScript получает доступ к глобальным объектам, таким как document и window, наряду с другими API и библиотеками. С помощью Node код обращается к жесткому диску, базам данных и Сети. Это делает возможным написание абсолютно любых приложений: от утилит командной строки и видеоигр до полноценных веб-серверов.

Чаще всего Node.js используется при написании веб-приложений с интенсивным вводом-выводом. Самый распространенный пример — это веб-серверы. Node.js популярен для создания приложений реального времени: чатов, коммуникационных программ и игр. Многие приложения Node.js имеют и серверную, и клиентскую части.

Пакетный менеджер npm

Важной частью Node.js является пакетный менеджер npm — Node.js Packet Manager, который устанавливается вместе с интерпретатором Node (см. ниже).

Как установить Node.js

Последнюю версию Node.js можно скачать с официального сайта nodejs.org. Для большинства пользователей рекомендуется установка версии с долговременной поддержкой (LTS). На данный момент это 8.11.2.

Установленный Node.js предоставляет две программы командной строки: node и npm. Программа node запускает софт, созданный на JavaScript. Например, напишем простую программу на JavaScript, которая выводит в консоль текст:

console.log ( «Skillbox test»);

Сохраним ее в файл skillbox.js. Так вот, установленная программа Node может выполнить эту программу, как и любую другую программу с js-кодом:

Как видим, команда node выполнила программу skillbox.js. Как и положено, она вывела в консоль текст «Skillbox test».

Кроме node, на компьютер устанавливается программа npm — это система управления пакетами Node, необходимая для установки свободно распространяемых инструментов из Сети. Нам как раз впоследствии понадобятся некоторые из этих инструментов, которые нужно будет скачать после установки npm. Все программы здесь скачиваются и устанавливаются стандартным путем:

npm install packagename>

Доступные пакеты и их краткое описание

Например, нам понадобится программа browser-sync для запуска примеров кода в браузере и автоматического обновления страницы при сохранении изменений в коде. Инструмент устанавливается такой командой (с параметром -g, который означает «глобальную» установку пакета для выполнения из любого каталога):

npm install —g browser — sync

Node.js как конструктор приложений

Платформа Node.js содержит огромное количество полезных модулей, помогающих при работе с файлами и каталогами, взаимодействии по Сети и обработке событий. По текущей статистике, для Node.js выпущено более650 000 пакетов свободного программного обеспечения. То есть создание многих приложений похоже на сборку из кубиков конструктора.

Кроме node и npm, нужно еще установить редактор кода, если его у вас до сих пор нет. Есть несколько удобных редакторов, в том числе Visual Studio Code от Microsoft, Brackets от Adobe и популярный свободный редактор Atom. Все они бесплатные.

В дальнейших статьях мы изучим, как работать с Node.js, как настроить Node.js и какие еще инструменты понадобятся в процессе разработки клиентских приложений. Лучше всего начать обучение с вводного курса «JavaScript с нуля».

  • Живая обратная связь с преподавателями
  • Неограниченный доступ к материалам курса
  • Стажировка в компаниях-партнёрах
  • Дипломный проект от реального заказчика
  • Гарантия трудоустройства в компании-партнёры для выпускников, защитивших дипломные работы

«JavaScript с нуля» — практический четырехмесячный курс для тех, кто хочет научиться основам языка сценариев с индивидуальным наставником, разработать фронтенд для интерактивного веб-проекта и положить кейс к себе в портфолио. Курс идеально подойдет дизайнерам-разработчикам и начинающим программистам, кто уже знаком и умеет разрабатывать страницу на HTML и CSS, но не намерен останавливаться в изучении программирования.

Преподаватели практически «на пальцах» объяснят базовые основы синтаксиса JavaScript, научат создавать визуальные интерактивные элементы и помогут разработать первый веб-проект на JavaScript.

Добавить комментарий