Q01. Зачем было писать еще один web-фреймворк?
A01. Разработка ПО должна быть удобным процессом, и его поддержка должна быть простой. Большниству разработчиков было бы комфортнее использовать для разработки знакомые инструменты. Возможность использовать gdb для отладки приложений является большим плюсом.

Q02. Почему именно C++/Qt?
A02. Выбор разработчика Cutelyst основывался на опыте разработки десктопных GUI-приложений на основе QtCore, QtNetwork и других полезных модулей, не включающих код GUI.

Q03. Cutelyst включает использование собственного HTTP-сервера?
A03. Да, таки и есть. В процессе развития Cutelyst оказалось, что готовые реализации серверов вносили существенные ограничения на удобство использования, производительность и расход ресурсов. Существующая сейчас реализация Cutelyst WSGI является асинхронной, этот сервер может быть встроен в ваш исполняемый файл, использует намного меньше памяти и поддерживает WebSockets, FastCGI, HTTP/2, HTTP 1.1 Pipelining и Keep-Alive (начиная с версии 2.0.x).

Q04. Требуется ли писать HTML-код в C/C++?
A04. И да, и нет. Гибкость Cutelyst позволяет использовать любой вид View. В настоящее время поддерживается система шаблонов ClearSilver и Grantlee (синтаксис Django), но вы можете легко генерировать HTML из кода C/C++ и добавлять в выходной буфер.

Q05. Насколько хорошо это работает?
A05. См. бенчмарки TechEmpower в сравнени с другими фреймворками:

https://www.techempower.com/benchmarks

Хотя производительность довольно сложно измерить правильно, обычный результат - уменьшение расхода RAM в 8 раз и снижение задержки обработки запросов с 18 до 2 миллисекунд. Поскольку расход ресурсов приложения получается намного меньше, у вас появляется больше свободы на встраивание ваших шаблонов и порождение большего количества потоков [4].

Q06. Включает ли Cutelyst ORM базы данных?
A06. Нет. Разработчики Cutelyst сознательно отказываются от «монолитной» концепции по типу Ruby on Rails или Django, где ORM является неотъемлемой частью фреймворка. Включение ORM (например, огромного QtSql с поддержкой всех возможных СУБД или написание своего) сделало бы ядро тяжелым. В C++ это особенно критично, так как увеличение зависимостей и размера библиотеки ведет к усложнению сборки и распространения.

Примечание: ORM (Object-Relational Mapping) это технология программирования, которая позволяет работать с данными в реляционной базе данных (SQL), используя объекты языка программирования, вместо того чтобы писать прямые SQL-запросы. Простыми словами, ORM — это переводчик между миром объектов (в коде) и миром таблиц (в базе данных).

Cutelyst строится на Qt, а в экосистеме Qt уже есть несколько попыток создать полноценный ORM (объектно-реляционное отображение). Разработчики справедливо рассуждают: зачем писать свой с нуля, когда можно взять один из существующих и интегрировать его через обычные C++/Qt механизмы? Это позволяет пользователю самому выбрать инструмент под свою задачу.

Однако у этого подхода есть и обратная сторона медалиВ отличие от фреймворков с «батарейками в комплекте» (как Django), Cutelyst не предоставляет готовой, протестированной и задокументированной интеграции ни с одним из ORM. Вы сами должны выбрать ORM, подключить его к проекту (через CMake), написать код для работы с БД, и обеспечить его взаимодействие с контекстом Cutelyst (например, передавать соединение с БД в контроллеры).

https://github.com/HamedMasafi/Nut
https://github.com/steckdenis/qtorm
http://www.qxorm.com/qxorm_en/home.html
http://www.codesynthesis.com/products/odb/

Q07. Для каких приложений предназначен Cutelyst - на стороне WEB-сервера или на стороне клиента (WEB-браузера)?
A07. Cutelyst — это исключительно серверный (backend) веб-фреймворк. Он предназначен для написания кода, который выполняется на стороне веб-сервера, а не в браузере клиента. Cutelyst создан для того, чтобы на C++ и Qt писать серверную логику веб-приложений. Он обрабатывает HTTP-запросы, взаимодействует с базами данных и генерирует ответ. См. врезку "Работа на стороне сервера".

Cutelyst создан для того, чтобы на C++ и Qt писать серверную логику веб-приложений. Он обрабатывает HTTP-запросы, взаимодействует с базами данных и генерирует ответ.

В официальной документации Cutelyst прямо назван "C++ Web Framework built on top of Qt" (Веб-фреймворк на C++, построенный поверх Qt). SourceForge также подтверждает это: Cutelyst помогает создавать "быстрые и современные веб-приложения".

Что делает Cutelyst как backend-фреймворк:

● Принимает входящие HTTP-запросы: серверная часть обрабатывает запросы от браузеров и других клиентов.
● Формирует ответ: генерирует HTML-страницы (через шаблонизаторы вроде Cutelee) или возвращает JSON-данные (через ViewJson), которые отправляются обратно клиенту.
● Маршрутизация: направляет запросы к нужным контроллерам.
● Работа с данными: имеет встроенную поддержку асинхронных SQL-запросов.
● Предоставляет REST API: включает специальный ActionREST для удобного создания RESTful API.
● Управление безопасностью: предлагает плагины для аутентификации, авторизации и защиты от CSRF-атак.

Пример из официального руководства показывает, как Cutelyst обрабатывает POST-запросы для создания пользователей и сообщений, что является классической серверной задачей.

[Генерация HTML vs. REST API]

Cutelyst предоставляет инструменты для двух основных подходов к созданию веб-приложений. Выбор между ними зависит от того, что именно вы хотите делать на стороне клиента:

[Как запустить серверное приложение на Cutelyst]

Для запуска вашего Cutelyst-приложения используется специальная утилита cutelystd5-qt6. Она поднимает HTTP/HTTPS сервер, который может работать как самостоятельно, так и за прокси-сервером (например, Apache или nginx) .

Пример запуска сервера:

# Запуск приложения на HTTP порту 3000
cutelystd5-qt6 -M --lazy -a /path/to/cutelystapp.so --h1 localhost:3000

`-a` указывает путь к скомпилированной библиотеке вашего приложения, а `--h1` включает HTTP сервер.

Уникальность Cutelyst в том, что он позволяет переиспользовать C++/Qt код между серверной частью веб-приложения и нативными десктопными или мобильными приложениями. Это его главное преимущество. Например, вы можете написать логику расчетов на C++ и использовать её как в настольной программе, так и на сервере, обрабатывающем веб-запросы. Но сам Cutelyst (как библиотека) выполняется именно на сервере, а не на клиенте.

[Что такое CSRF-атака]

CSRF (Cross-Site Request Forgery) — тип атаки, при котором злоумышленник заставляет браузер аутентифицированного пользователя выполнить нежелательное действие на доверенном веб-сайте.

Как работает атака. CSRF-атака становится возможной из-за того, что браузеры автоматически отправляют сохранённые куки (включая сессионные) при каждом запросе к соответствующему домену. Классическая схема атаки выглядит так:

1. Пользователь входит на сайт (например, интернет-банк) и получает аутентификационную куку.
2. Пользователь посещает вредоносный сайт (по ссылке из письма или рекламы).
3. Вредоносный сайт отправляет поддельный запрос на сайт банка — через скрытую форму, JavaScript или тег < img>.
4. Браузер автоматически добавляет куку аутентификации к этому запросу.
5. Сервер выполняет действие (перевод денег, смена пароля) от имени пользователя. 

Важно понимать: CSRF нацелена на запросы, изменяющие состояние (POST, PUT, DELETE). Злоумышленник не может украсть данные, потому что не видит ответ сервера — он только инициирует действие.

Пример GET-атаки:

< !-- Вредоносный сайт может разместить такое изображение -->
< img src="https://bank.com/transfer.do?acct=HACKER&amount=100000" width="0" height="0">

Браузер жертвы загрузит эту "картинку" и выполнит перевод денег без какого-либо визуального уведомления.

[Реализация защиты в Cutelyst]

Cutelyst предоставляет готовый плагин CSRFProtection, который реализует паттерн синхронизатора токенов (Synchronizer Token Pattern).

Подключение плагина. Плагин не включён по умолчанию — его нужно явно активировать при сборке фреймворка:

# При сборке Cutelyst из исходников
cmake -DPLUGIN_CSRFPROTECTION:BOOL=ON ..

Базовое использование:

1. Подключаем плагин в приложении:

#include < Cutelyst/Plugins/CSRFProtection/CSRFProtection>

bool MyCutelystApp::init()
{
    // Добавляем плагин
    auto csrfProtect = new CSRFProtection(this);

    // Опционально: исключаем целые пространства имён из защиты
    csrfProtect->setIgnoredNamespaces({QStringLiteral("api")});

    return true;
}

2. Исключаем отдельные действия (если нужно):

Если нужно отключить защиту для конкретного действия (например, для публичного API без сессий), используется атрибут `:CSRFIgnore` :

C_ATTR(webhook, :Path :AutoArgs :CSRFIgnore)void webhook(Context *c);

3. Принудительно включаем защиту для действия в исключённом пространстве имён:

Если вы исключили целое пространство имён (`setIgnoredNamespaces({"foo"})`), но хотите защитить конкретное действие, используйте :CSRFRequire:

class Foo : public Cutelyst::Controller
{
    C_NAMESPACE("foo")
public:
    // Это действие находится в исключённом пространстве имён,
     // но требует защиты
    C_ATTR(edit, :Path :CSRFRequire)
    void edit(Context *c);
};

[Работа с шаблонами Cutelee]

В HTML-форму нужно добавить скрытое поле с CSRF-токеном. Для этого в шаблонах Cutelee используется специальный тег:

< form method="post" action="/submit">
    {% c_csrf_token %}
    < input type="text" name="username">
    < input type="password" name="password">
    < button type="submit">Отправить</button>
< /form>

Тег {% c_csrf_token %} автоматически вставляет скрытое поле input с корректным значением токена.

[Работа с AJAX]

Для AJAX-запросов токен можно передавать двумя способами:

1. Через HTTP-заголовок `X-CSRFToken` (рекомендуется для JavaScript-фреймворков):

fetch('/api/transfer', {
    method: 'POST',
    headers: {
        'X-CSRFToken': getCsrfTokenFromCookie(),
        'Content-Type': 'application/json'
    },
    body: JSON.stringify({ amount: 100 })
});

2. Через мета-тег в HTML и чтение из DOM (html):

< meta name="csrf-token" content="{{ csrf_token }}">

javascript:

const token = document.querySelector('meta[name="csrf-token"]').content;

Для получения токена в коде используется статический метод:

QString token = CSRFProtection::getToken(c);

[Настройка плагина]

Плагин поддерживает конфигурацию через файл настроек приложения (секция Cutelyst_CSRFProtection_Plugin):

Пример конфигурации:

[Cutelyst_CSRFProtection_Plugin]
cookie_secure = true
cookie_same_site = lax
trusted_origins = .trusted-domain.com,api.example.com

[Обработка ошибок проверки]

Если проверка CSRF не проходит:

1. Сервер возвращает статус 403 Forbidden.

2. В "stash" (хранилище контекста) устанавливается сообщение об ошибке.

3. Можно настроить действие для перенаправления при ошибке:

auto csrf = new CSRFProtection(this);
// Устанавливаем действие по умолчанию для ошибок
csrf->setDefaultDetachTo(QStringLiteral("csrfError"));

// В контроллере
C_ATTR(csrfError, :Local :Private :AutoArgs :ActionClass(RenderView))
void csrfError(Context *c)
{
    c->res()->setStatus(403);
    c->finalize();
}

Также можно указать действие для конкретного метода с помощью атрибута:

C_ATTR(transfer, :Local :CSRFDetachTo(transferDenied))
void transfer(Context *c);

[Важные ограничения]

Разработчики Cutelyst особо отмечают одну уязвимость: поддомены могут обходить защиту CSRF. Если у вас есть поддомен (например evil.example.com) и он может устанавливать куки для основного домена .example.com, то этот поддомен сможет подделать токен и обойти защиту.

Решение: доверяйте поддомены только надёжным пользователям или приложениям.

[Принцип работы (как это устроено внутри)]

Плагин CSRFProtection работает по следующему алгоритму:

1. На каждом запросе генерируется секретный токен (с солью).
2. Токен сохраняется в куке или в сессии пользователя.
3. При отправке формы токен должен вернуться либо в скрытом поле формы, либо в заголовке `X-CSRFToken`.
4. Сервер сравнивает полученный токен с сохранённым.
5. Если токены совпадают — запрос выполняется. Если нет — возвращается ошибка 403.

Этот механизм гарантирует, что злоумышленник, не имеющий доступа к куке и не могущий предугадать случайный токен, не сможет сформировать легитимный поддельный запрос.