Dmitriy Grape

Разбираюсь в HTML, css (css, sass), js (nodejs, express, react), npm, npx, jwt, mongodb.

Не разбираетесь. Если вы немного поработали со всем этим, это не значит, что вы реально в этом шарите.

Окей, я не буду ничего говорить про Front-End, это за гранью моей компетенции, но вот о Express и Mongo я бы поговорил.

Express - старый, низкоуровневый фреймворк. Большинство ваших проектов на нём, это, скорее всего "большой ком грязи". И если вы просто создали отдельные папочки для моделей и контроллеров, это не значит, что вы создали расширяемое приложение с чистой архитектурой. Не увидел в списке ваших умений TypeScript, и если на фронтенде без TS ещё обходятся, то на бекенде это полнейший позор.

MongoDB - уж поверьте, вы ещё много чего интересного узнаете. MongoDB не заканчивается на yarn add mongoose и model.find().populate('field').

Совет №1: Изучайте углублённо старое. Новое, конечно, хорошо, но вы для начала попробуйте сделать что-то сложное, что вы никогда не делали ранее на том стеке, который у вас сейчас есть. А там уже и необходимость в чём-то новом появится (например: нечёткий поиск по бд). Да и на Express NodeJS-бекенд не кончается. С NGINX разберётесь, когда всё это задеплоете на реальный VPS, а пока что подождёт.

Совет №2: Учите архитектуру ПО. До некоторых принципов от туда нужно дорасти, возможно, многое поначалу будет непонятно. Но когда дорастёте, то уверяю вас, никогда не пожалеете, что решили в этом разобраться.

Сервер возвращает вам разрешённые заголовки запроса, вы можете их не указывать вовсе или указать их все сразу, но вот если вы в запрос добавите заголовок, который сервер не разрешает, например какой-нибудь not-allowed-header, то сервер ваш запрос не примет.

Безопасная веб разработка - это по сути CORS, CSP, защита от XSS, защита от CSRF и хеширование паролей

UPD:
Вадим, Если вы не хотите чтобы к вам на API прилетали данные, которые вы не ожидаете - используйте валидацию с whitelist'ингом. Если вам нужно ограничить места, откуда может прилететь запрос - сконфигурируйте CORS.

Если вы хотите ограничить количество запросов на эндпоинт в течении какого-то количества времени с одного IP - Юзайте RateLimit. Про правильное построение авторизации тоже не совсем понятно. Что для вас правильнее: JWT или OAuth2? Все стратегии уже давно придуманы и сделать что-то неправильно будет тоже сложно.

Нужно безопасно предавать данные в сети - HTTPS и SSL.

Хотите закрыть все порты, кроме 443? - юзайте фаервол.

Нет необходимости изучать «принципы безопасной веб разработки», вы когда что-то писать начнёте, вы сразу увидите все слабые места и начнёте искать пути решения уже конкретно под вашу ситуацию. А так, свой

fetch('https://api.com')

вы безопаснее не сделаете.

Минимизировать код никак не надо, но вот чтобы он более красиво выглядел в вашем текстовом редакторе, можно обработать его с помощью Beautify

Веб разработка

Естественно. Как можно писать сценарий для того, о чём не знаешь?

Ну если прям совсем детально, то:

1. Мысленная проектировка проекта
   
2. Создание дизайн-макета
   
3. Написание Front-End части
   
4. Написание Back-End части
   
5. Тестирование
   
6. Продакшн
   

Возможно, я что-то упустил, но всё вышеперечисленное точно присутствует в данном списке.

Теперь небольшие поправочки:

1) верстка
2) оживление реактом/ангуляром

— не совсем правильно выразился: реакт, и ангуляр устроены так, что там «оживление» идёт параллельно с вёрсткой. Невозможно написать что-то на реакте, чтобы это было не «оживлено».
Ну, вернее, всё возможно, только реакт для этого и нужен, чтобы сгруппировать и вёрстку и «оживление» в что-то одно, под названием «создание SPA».

Вот если бы ты использовал чистый HTML, а уже потом подключал JS скрипты, то уже тогда это можно назвать «Оживление вёрстки скриптами».