เปิดตัว Express v5 - ยุคใหม่ของเฟรมเวิร์ก Node.js

• PR แรกของ v5 ถูกเปิดไว้ตั้งแต่ 10 ปีก่อน และในที่สุดก็ถูก merge และ publish แล้ว
• เป็นรีลีสที่ถูกทำให้เรียบง่ายโดยตั้งใจ เพื่อเปิดทางให้มีการเปลี่ยนแปลงที่ทรงอิทธิพลยิ่งขึ้นในรีลีสถัดไป
• อีกทั้งยังเป็นการส่งสัญญาณให้ ecosystem ของ Node.js รู้ว่า Express กลับมาเดินหน้าอีกครั้ง

การเปลี่ยนแปลงสำคัญ

• การเปลี่ยนแปลงการรองรับเวอร์ชันของ Node.js

  • ยุติการรองรับ Node.js 0.10 และเปลี่ยนเป็นรองรับ Node 18 ขึ้นไป
  • แก้ปัญหาที่การรองรับ Node.js เวอร์ชันเก่าทำให้การเปลี่ยนแปลงสำคัญด้านประสิทธิภาพและการบำรุงรักษาต้องล่าช้า
  • ทำให้สามารถนำความสามารถใหม่ของภาษาและรันไทม์มาใช้ และถอด dependency ที่ไม่จำเป็นออกได้
  • รับรู้ถึงความยากลำบากขององค์กรที่ยังใช้ Node.js เวอร์ชันเก่า และจะร่วมมือกับ HeroDevs เพื่อมอบ "การสนับสนุนแบบไม่มีกำหนด" ที่ยังคงให้ security patch สำคัญต่อไปหลัง v4 สิ้นสุดการสนับสนุน

• การเปลี่ยนแปลงด้านการจับคู่เส้นทางและ regex

  • ไลบรารี path-to-regexp ถูกอัปเดตจาก 0.x เป็น 8.x ทำให้รวมการเปลี่ยนแปลงที่สะสมมาหลายปี
  • ยกเลิกการรองรับ regex subexpression (เช่น /:foo(\\d+))
    • ถูกถอดออกเพื่อป้องกันการโจมตีแบบ ReDoS
    • วิธีการย้าย: แนะนำให้ใช้ไลบรารีตรวจสอบความถูกต้องของอินพุตที่แข็งแรง
  • มี pattern แบบย่อสำหรับรูปแบบเส้นทางที่ใช้บ่อย
    • :name? เปลี่ยนเป็น {:name}
    • * เปลี่ยนเป็น *name
    • เพิ่ม (, ), [, ], ?, +, ! เป็นอักขระสงวน
  • ยกเลิกการรองรับ numeric parameter แบบมีลำดับ ต้องตั้งชื่อให้ทุก parameter

• การรองรับ Promise

  • เพิ่มการรองรับ Promise ที่ถูก reject เพราะ error ที่เกิดขึ้นใน middleware
  • ไม่ครอบคลุมกรณีการเรียก next จาก Promise ที่ resolve แล้ว
  • ในกรณีส่วนใหญ่ ตอนนี้สามารถเขียน middleware ได้แบบนี้:

    app.use(async (req, res, next) => {  
      req.locals.user = await getUser(req);  
      next();  
    });  
    

• การเปลี่ยนแปลงของ body parser

  • เพิ่มตัวเลือกสำหรับปรับความลึกของ urlencoded body เพื่อบรรเทา CVE-2024-45590 (ค่าเริ่มต้น 32)
  • ถอด bodyParser() middleware แบบรวมที่เลิกใช้แล้วออก
  • req.body จะไม่ถูกเริ่มต้นเป็น {} เสมอไปอีกต่อไป
  • ค่าเริ่มต้นของ extended ใน parser แบบ urlencoded เปลี่ยนเป็น false
  • เพิ่มการรองรับการบีบอัดข้อมูลแบบไม่สูญเสียด้วย Brotli

• ถอด method signature ที่เลิกใช้ออก

  • res.redirect('back') และ res.location('back'): ไม่รองรับ magic string 'back' อีกต่อไป ให้ใช้ req.get('Referrer') || '/' อย่างชัดเจนแทน
  • signature ของ res.send(status, body) และ res.send(body, status): ให้ใช้ res.status(status).send(body)
  • signature ของ res.send(status): สำหรับการตอบกลับสถานะแบบสั้นให้ใช้ res.sendStatus(status) และหากต้องการส่ง status code พร้อมเนื้อหาแบบเลือกได้ให้ใช้ res.status(status).send()
  • มีการถอด method signature ที่เลิกใช้อื่น ๆ ออกด้วย (ดูรายละเอียดใน migration guide)

• แนวทางการย้ายระบบและความปลอดภัย

  • มี migration guide แบบละเอียดสำหรับนักพัฒนาที่จะย้ายจาก v4 ไป v5
  • มี threat model แบบครอบคลุมที่ให้ข้อมูลเชิงลึกสำคัญในเรื่องอย่างการตรวจสอบความถูกต้องของอินพุตจากผู้ใช้และแนวปฏิบัติด้านความปลอดภัย เพื่อให้ใช้งาน Express ได้อย่างปลอดภัยและมั่นคง

ความเห็นของ GN⁺

• Express v5 เป็นรีลีสที่มุ่งเน้นการบอก ecosystem ของ Node.js ว่า Express กลับมาเคลื่อนไหวอีกครั้ง โดยเน้นการยุติการรองรับ Node.js เวอร์ชันเก่า การแก้ปัญหาด้านความปลอดภัย และการทำให้การบำรุงรักษาง่ายขึ้น
• รีลีสนี้ถูกทำให้เรียบง่ายโดยตั้งใจ เพื่อขจัดอุปสรรคใน ecosystem และเปิดทางให้เกิดการเปลี่ยนแปลงที่ส่งผลมากขึ้นในรีลีสถัดไป
• Express มีปรัชญาเป็นเว็บเฟรมเวิร์กสำหรับ Node.js ที่รวดเร็ว ไม่ยัดเยียดแนวทาง และมินิมอล ซึ่งช่วยมอบข้อมูลเชิงลึกสำคัญในด้านอย่างการตรวจสอบความถูกต้องของอินพุตจากผู้ใช้และแนวปฏิบัติด้านความปลอดภัย
• มีทั้งคู่มือแบบละเอียดสำหรับการย้ายไป Express v5 และ threat model แบบครอบคลุม เพื่อช่วยให้นักพัฒนาใช้งาน Express ได้อย่างปลอดภัยและเสถียร
• ผู้ดูแลชุดใหม่ของโปรเจกต์ Express ตั้งเป้าที่จะพัฒนา ecosystem ของ Express ให้เป็นเครื่องมือที่เสถียรและเชื่อถือได้ โดยจะร่วมมือกับชุมชนเพื่อแก้ปัญหาและปรับปรุงต่อไป