Дмитрий Беляев

https://git-scm.com/book/ru/v1/%D0%98%D0%BD%D1%81%...
Выносите в отдельный репо, подключаете как подмодуль git

P.S. у Вас серьезно общая бизнес логика на клиенте и сервере?

Потому что код надо копировать с умом...
res.cookie("userID" , data._id, { HttpOnly: true})

P.S. Access-Control-Allow-Origin - серверный заголовок, отправлять его с клиента - нет смысла

ИМХО, но для этой задачи лучше подойдет web-socket
Для простоты реализации можно заюзать https://www.npmjs.com/package/ws-api

req.headers содержит все заголовки запроса распаршеные в объект, где ключ - сам заголовок приведенный в нижний регистр, а значение - его значение
То есть в Вашем случае можно проверять req.headers.referer

Отправлять куки в виде сообщения при изменении

При подключении socket.io на клиенте отправляйте токен сессии
На сервере получаете из сессии userID и связываете с ним socket.id

У find 1й параметр отвечает за условия, возвращаемые поля определяет 2й параметр, но при его наличии будут отсутствовать все остальные поля документа, можно конечно их перечислить, но это придется менять при изменении структуры документа, пример:

var locale = i18n.getLocale();
 Article.find({}, {
    ['title.' + locale]: 1,
    ['content.' + locale]: 1
})

Второй вариант - это преобразовать результат от базы так как Вам надо, пример:

var locale = i18n.getLocale();
Article.find().sort('-   created').populate('user', 'displayName').exec(function (err, articles) {
  if (err) {
    return res.status(400).send({
      message: errorHandler.getErrorMessage(err)
    });
  } else {
     articles.forEach(article => {
       article.title = article.title[locale];
       article.content = article.content[locale];
     });
     res.json(articles);
  }
});

Некоторые браузеры неадекватно воспринимают звездочку в Access-Control-Allow-Origin
Пропишите конкретный хост в этот заголовок или подставляйте его из req.headers.host чтобы принимать любой хост.
Так же можно попробовать midleware cors

Просто оборачивание тяжелой операции в setImmediate большого профита не даст, Вы все равно блокируете поток на время ее выполнения.
А вот разбить ее на небольшие быстрые части с помощью setImmediate можно, сам midleware будет отрабатывать чуть медленнее, зато EventLoop будет отрабатывать.
В большинстве случаев адекватно прерывать задачу на обработку EventLoop каждые 1000 итераций цикла, хотя конкретное число итераций зависит от вычислительной сложности тела цикла в Вашем случае.

Примерно так:

var http = require('http');
var ipTables = {};

var server = http.createServer((req, res) => {
    //Ваш обработчик запроса или express/connect вместо него
});

server.on('connection', socket => {
    var ip = socket.address().address;
    var time = Date.now();
    if(ip in ipTables) {
        if(time - ipTables[ip].time > 3000) {
            ipTables[ip] = {
                count : 1,
                time
            };
            return;
        }
        ipTables[ip].count++;
        ipTables[ip].time = time;
        if(ipTables[ip].count > 100) {
            socket.end('HTTP/1.1 429 Too Many Requests\n\n');
            socket.destroy(); //Обрываем соеденение, так как ip ломится слишком часто
        }
        return;
    }
    ipTables[ip] = {
        count : 1,
        time
    };
});

server.listen(80);