Глоссарий терминов на букву Э

Экспорт данных: скрытые риски и обязательные проверки

Многие разработчики полагают, что экспорт данных в CSV или JSON — рутинная операция, не требующая внимания. На практике наиболее частая ошибка — игнорирование кодировки. Экспортируя кириллицу без явного указания UTF-8 BOM, вы получаете файл, который Excel откроет с кракозябрами. Специалисты по безопасности обращают внимание на другой нюанс: при экспорте никогда не включайте в выходной массив хеши паролей, токены сессий или внутренние ID записей. Даже если вы уверены, что файл предназначен для администратора, используйте отдельную view-модель, а не прямой дамп базы.

• Профессиональный совет: для больших объёмов (свыше 10 000 строк) используйте потоковый экспорт — это предотвращает падение памяти на сервере.
• Неочевидный нюанс: при экспорте с фильтрацией по датам всегда передавайте временную зону. Иначе утро понедельника в UTC может оказаться воскресеньем в локальном времени пользователя.

Эмуляция устройств: мифы и реальная польза

Типовое заблуждение: если сайт корректно отображается в эмуляторе мобильного устройства браузера, значит, он готов к реальной аудитории. Опытные тестировщики знают — эмулятор не передаёт реальную чувствительность сенсора, поведение свайпов и тайминги загрузки фрагментов контента. Например, событие touchstart в эмуляторе срабатывает моментально, а на физическом устройстве с защитным стеклом может запаздывать на 200–300 мс. Ещё один подводный камень — эмуляция slow-motion не равна реальному throttling CPU. Для точного тестирования используйте троттлинг процессора через DevTools (настройка CPU throttling до 4x или 6x slowdown) и физические устройства с разными версиями ОС.

1. Совет профи: тестируйте эмуляцию при разных уровнях заряда батареи — на слабых устройствах браузер автоматически снижает частоту кадров.
2. Ошибка новичков: полагаться на эмуляцию Safari через Chrome. Это некорректно: движки WebKit и Blink имеют разную обработку CSS-гридов и flexbox.

Экранирование ввода: неочевидные точки атаки

Стандартное правило «экранируй всё, что приходит от пользователя» — лишь вершина айсберга. Специалисты по безопасности обращают внимание на три забытые зоны: URL-параметры в реферере, значения атрибутов src у изображений и placeholder в полях формы. Злоумышленник может вставить XSS-скрипт через название файла изображения, которое выводится без обработки. Другой нюанс: экранирование HTML-сущностей (> в >) защищает от XSS, но не от CSS-инъекции в style-атрибут. Там нужно экранировать на уровень CSS: используйте специальные функции фильтрации.

• Лайфхак: при экранировании ввода для атрибутов используйте двойную кодировку — сначала HTML-encode, затем attribute-encode.
• Распространённая оплошность: экранировать только поля, которые отображаются сейчас, забывая про логи, email-уведомления и экспорт — там атаки срабатывают не сразу, но последствия серьёзнее.

ЭО (экспертная оценка) скорости загрузки: что на самом деле важно

Многие считают, что главный показатель — Time to First Byte (TTFB). На практике узкие места чаще в блоках, которые видит пользователь после загрузки: Largest Contentful Paint (LCP) и Cumulative Layout Shift (CLS). Эксперты советуют не гнаться за TTFB ниже 200 мс, если ваш контент отдаётся через CDN — разумный предел 400–800 мс. Куда важнее убрать из критического пути все неиспользуемые JavaScript-скрипты и стили. Ещё один пункт, который упускают: скорость рендера зависит от размера DOM-дерева. При 3500+ узлов производительность падает.

1. Неочевидная деталь: сторонние шрифты (Google Fonts) часто блокируют отрисовку текста. Выход — использовать display: swap с явным fallback.
2. Совет профессионала: тестируйте скорость в «холодном» кэше после чистки, а не с локального сервера — иначе вы видите не реальную картину, а артефакты кэширования.

Добавлено: 27.04.2026