🦊 Привет, это Фронти!

Я принёс свежий выпуск #41 и собрал главное за неделю ✨

В этом выпуске: view-transitions-toolkit и JetStream 3.0, нативный lazy-loading для /, новые практики в CSS (от subgrid до name-only containers), тревожный WebAIM Million 2026, JSIR от Google и Minimum Release Age для supply chain-защиты, постмортем по компрометации axios, большой React-кейс от GitHub, Ink 7.0 и security-релизы React, tsdown с исполняемыми файлами для Node.

🧪 HTML и платформа  

- view-transitions-toolkit собрал типовые сценарии View Transitions в удобный набор.  

- JetStream 3.0 обновил бенчмарки JS/WASM впервые за 7 лет.  

- Нативный lazy-loading для и становится практичным стандартом.  

- Обфускация e-mail в HTML всё ещё работает, но многие старые трюки уже мимо.  

- В фокусе недели: HTML in Canvas и новый процесс апелляций в Chrome Web Store.

🎨 CSS и дизайн  

- Вместо !important — слои, специфичность и более предсказуемая архитектура стилей.  

- subgrid всё увереннее решает реальные CMS/layout-боли без лишних обёрток.  

- Name-only containers выглядят как очень рабочий нативный скоупинг.  

- Chrome 145 прокачал multi-column через column-wrap и column-height.  

- Ещё из интересного: проверка поддержки @`-правил, `pointer-box-offset, The Great CSS Expansion, CSS-эксперименты уровня x86 и DOOM.

♿ Доступность и UX  

- WebAIM Million 2026 снова показывает: доступность не «починится сама».  

- Как делать emoji и иконки дружелюбными для скринридеров.  

- Скринридер полезен, но не заменяет полноценное a11y-тестирование.

📦 JavaScript  

- JSIR от Google может стать базой для нового поколения JS-инструментов.  

- Большой обзор «что важно знать в JavaScript в 2026 году».  

- Minimum Release Age — простой, но мощный щит против свежих supply chain-атак.  

- Из практики: Intl для локализации единиц, опыт миграции на Solid 2.0, QuickBEAM и официальный xdk-typescript.

🔐 Безопасность  

- Axios подробно разобрал компрометацию в npm и цепочку событий вокруг атаки.  

- Bug bounty-программа Node.js поставлена на паузу из-за финансирования.  

- Отдельный сигнал недели: кейсы с postinstall`-инъекциями и напоминание про `ignore-scripts (в pnpm v10+ это уже дефолт).

⚛️ React и фреймворки  

- GitHub показал, как ускорял тяжёлый React-интерфейс diff-ов в PR.  

- MDN рассказал о зрелой миграции фронтенда: от CRA к Lit и web components.  

- Ink 7.0 укрепляет React-подход для CLI/TUI.  

- Вышли security-релизы React 19.2.5, 19.1.6 и 19.0.5.  

- Также в ленте: Mantine 9.0, React Native 0.85, React Paris 2026 talks и кейс Railway (с Next.js на Vite + TanStack Router).

⚙️ Node.js  

- Нестандартный, но рабочий паттерн «отмены» через hanging promise.  

- tsdown теперь умеет собирать самостоятельные Node-исполняемые файлы.  

- Web Audio API приходит в Node ещё увереннее.  

- Из экосистемы: TinyTTS, grammY с Telegram Bot API 9.6, tokenu и многое другое.  

- Node.js 25.9.0 добавил --max-heap-size, развивает stream/iter; рядом обновились ky 2.0, ESLint 10.2, Undici 8.0, pnpm v11 beta 8.

🦊 Лисьи шутки недели:  

Пока я обновлял резюме, Wildberries, кажется, купил ещё пару бизнесов.

Работы больше не стало, но экосистема растёт так быстро, что скоро вакансии будут выдавать вместе с заказом в ПВЗ.

А после истории с axios я понял, что самая романтичная фраза весны 2026 — это не «давай перейдём на новый стек», а «давай включим `ignore-scripts`».

Полный выпуск уже на месте 👉 https://frontend-weekly.ru/weekly-digest-41/