rex-claude 1.1.7 → 2.0.0

package/dotfiles/commands/test.md

@@ -1,11 +0,0 @@
-Run the project's test suite and analyze results.
-
-Steps:
-1. Detect test framework (look for vitest.config, jest.config, playwright.config)
-2. Run the appropriate test command
-3. If tests fail:
-   - Analyze each failure
-   - Identify root cause
-   - Suggest fixes (NEVER modify tests to make them pass — fix the code)
-4. Report: total tests, passed, failed, skipped
-5. If no test suite exists, report that and suggest setting one up

package/dotfiles/docs/cloudflare.md

@@ -1,62 +0,0 @@
-# Cloudflare Workers — Doc Cache Local
-
-> Dernière mise à jour : 2026-03-03
-
-## Workers Basics
-
-### Limite clé : 50 subrequests/invocation
-Pour les opérations en batch : chunking + self-invoke pattern.
-
-```ts
-export default {
-  async fetch(request: Request, env: Env): Promise<Response> {
-    const url = new URL(request.url);
-    // routing
-    if (url.pathname === '/api/items') return handleItems(request, env);
-    return new Response('Not found', { status: 404 });
-  }
-};
-```
-
-### D1 (SQLite)
-```ts
-const { results } = await env.DB.prepare('SELECT * FROM users WHERE id = ?')
-  .bind(userId)
-  .all();
-// TOUJOURS requêtes paramétrées, jamais de concaténation
-```
-
-### KV
-```ts
-await env.KV.put('key', JSON.stringify(value), { expirationTtl: 3600 });
-const data = await env.KV.get('key', 'json');
-// KV est eventually consistent — pas pour les données critiques temps réel
-```
-
-### Durable Objects
-Pour state persistent + WebSocket — utilisé dans les bots Telegram.
-
-## wrangler.toml
-```toml
-name = "my-worker"
-main = "src/index.ts"
-compatibility_date = "2025-01-01"
-
-[[d1_databases]]
-binding = "DB"
-database_name = "my-db"
-database_id = "xxx"
-
-[[kv_namespaces]]
-binding = "KV"
-id = "xxx"
-```
-
-## Gotchas
-
-1. **50 subrequests max** — inclut fetch(), D1, KV, tout appel réseau
-2. **10ms CPU time** (free) / 30s (paid) — pas de boucles longues
-3. **KV est eventually consistent** — délai de propagation ~60s
-4. **D1 est en beta** — pas de transactions imbriquées
-5. **CORS** : doit être géré manuellement dans le Worker
-6. **`ctx.waitUntil()`** pour les tâches background après la réponse

package/dotfiles/docs/nextjs.md

@@ -1,79 +0,0 @@
-# Next.js — Doc Cache Local
-
-> Dernière mise à jour : 2026-03-03
-> Version : Next.js 15.x / 16.x (App Router)
-
-## App Router Essentials
-
-### Route Files
-- `page.tsx` — route UI
-- `layout.tsx` — layout partagé (ne re-render pas à la navigation)
-- `loading.tsx` — Suspense boundary automatique
-- `error.tsx` — error boundary (`'use client'` obligatoire)
-- `not-found.tsx` — 404 page
-- `route.ts` — API route (GET, POST, PUT, DELETE)
-
-### Server vs Client Components
-- **Par défaut** : Server Component (pas de state, pas de hooks)
-- `'use client'` en haut du fichier pour un Client Component
-- Server Components peuvent importer Client Components, pas l'inverse
-- Les props passées de Server → Client doivent être sérialisables
-
-### Data Fetching (App Router)
-```tsx
-// Server Component — fetch direct, pas de useEffect
-async function Page() {
-  const data = await fetch('https://api.example.com/data', {
-    cache: 'force-cache',      // static (default)
-    // cache: 'no-store',      // dynamic
-    // next: { revalidate: 60 } // ISR
-  });
-  return <div>{data}</div>;
-}
-```
-
-### Server Actions
-```tsx
-'use server'
-
-async function createItem(formData: FormData) {
-  const name = formData.get('name');
-  await db.insert(items).values({ name });
-  revalidatePath('/items');
-}
-```
-
-## Gotchas / Pièges courants
-
-1. **Hydration mismatch** : ne jamais utiliser `Date.now()`, `Math.random()`, ou `localStorage` dans le render initial — toujours dans `useEffect`
-2. **`useSearchParams()`** : doit être wrappé dans `<Suspense>` sinon erreur en production
-3. **Metadata** : export `metadata` ou `generateMetadata` uniquement dans `page.tsx` et `layout.tsx`
-4. **Redirects dans Server Components** : utiliser `redirect()` de `next/navigation`, pas `router.push()`
-5. **Route handlers** : `NextRequest` et `NextResponse` — pas `req`/`res` Express-style
-6. **Middleware** : un seul fichier `middleware.ts` à la racine, matcher via config
-
-## Patterns récurrents
-
-### API Route avec validation
-```tsx
-import { NextRequest, NextResponse } from 'next/server';
-
-export async function POST(request: NextRequest) {
-  try {
-    const body = await request.json();
-    // validate...
-    return NextResponse.json({ data: result }, { status: 201 });
-  } catch (error) {
-    return NextResponse.json({ error: 'Invalid request' }, { status: 400 });
-  }
-}
-```
-
-### Dynamic metadata
-```tsx
-export async function generateMetadata({ params }: { params: Promise<{ id: string }> }) {
-  const { id } = await params; // Next.js 15+ : params is async
-  const item = await getItem(id);
-  return { title: item.name };
-}
-```

package/dotfiles/docs/react.md

@@ -1,63 +0,0 @@
-# React 19 — Doc Cache Local
-
-> Dernière mise à jour : 2026-03-03
-
-## React 19 Nouveautés
-
-### `use()` hook
-```tsx
-function Component({ dataPromise }: { dataPromise: Promise<Data> }) {
-  const data = use(dataPromise); // suspend until resolved
-  return <div>{data.name}</div>;
-}
-```
-
-### Server Components
-- Pas de state, pas de hooks (sauf `use()`)
-- Accès direct aux données (DB, fichiers, APIs)
-- Ne sont jamais envoyés au client (0 JS)
-
-### Actions (form)
-```tsx
-function Form() {
-  const [state, formAction, isPending] = useActionState(async (prev, formData) => {
-    const result = await submitForm(formData);
-    return result;
-  }, null);
-
-  return (
-    <form action={formAction}>
-      <input name="email" />
-      <button disabled={isPending}>Submit</button>
-    </form>
-  );
-}
-```
-
-### `useOptimistic()`
-```tsx
-const [optimisticItems, addOptimistic] = useOptimistic(items, (state, newItem) => [...state, newItem]);
-```
-
-## Patterns récurrents
-
-### Loading + Error + Empty states (OBLIGATOIRE)
-```tsx
-function ItemList() {
-  const { data, isLoading, error } = useQuery(...);
-
-  if (isLoading) return <Skeleton />;
-  if (error) return <ErrorMessage retry={refetch} />;
-  if (!data?.length) return <EmptyState message="Aucun élément" />;
-
-  return <ul>{data.map(item => <li key={item.id}>{item.name}</li>)}</ul>;
-}
-```
-
-## Gotchas
-
-1. **StrictMode** double-render en dev — normal, pas un bug
-2. **Key prop** : ne jamais utiliser l'index comme key si la liste peut être réordonnée
-3. **Closure stale** dans useEffect — utiliser ref ou functional update
-4. **Ref callback** : React 19 supporte le cleanup `return () => {}` dans les ref callbacks
-5. **`forwardRef` deprecated** en React 19 — `ref` est maintenant une prop normale

package/dotfiles/docs/tailwind.md

@@ -1,45 +0,0 @@
-# Tailwind CSS v4 — Doc Cache Local
-
-> Dernière mise à jour : 2026-03-03
-
-## v4 Breaking Changes
-
-- Config via CSS (`@theme`), plus de `tailwind.config.js`
-- Import : `@import "tailwindcss"` (plus de `@tailwind base/components/utilities`)
-- Content detection automatique (plus besoin de `content: [...]`)
-
-```css
-@import "tailwindcss";
-
-@theme {
-  --color-primary: #3b82f6;
-  --font-sans: "Inter", sans-serif;
-}
-```
-
-## Classes les plus utilisées
-
-### Layout
-- `flex` `flex-col` `items-center` `justify-between` `gap-4`
-- `grid` `grid-cols-3` `col-span-2`
-- `container` `mx-auto` `max-w-7xl`
-
-### Spacing
-- `p-4` `px-6` `py-2` `m-auto` `mt-8` `space-y-4`
-
-### Typography
-- `text-sm` `text-lg` `text-xl` `font-bold` `font-medium`
-- `text-gray-600` `text-primary` `leading-relaxed`
-
-### Responsive
-- `sm:` (640px) `md:` (768px) `lg:` (1024px) `xl:` (1280px)
-
-### Dark mode
-- `dark:bg-gray-900` `dark:text-white`
-
-## Gotchas
-
-1. **v4 pas de config JS** — tout est en CSS maintenant
-2. **`@apply`** fonctionne toujours mais déconseillé — préférer les classes directes
-3. **Arbitrary values** : `w-[calc(100%-2rem)]` `text-[#1a1a1a]`
-4. **Group/peer** : `group-hover:opacity-100` `peer-invalid:text-red-500`

package/dotfiles/docs/telegram-bot.md

@@ -1,55 +0,0 @@
-# Telegram Bot API — Doc Cache Local
-
-> Dernière mise à jour : 2026-03-03
-
-## Rate Limits CRITIQUES
-
-- **30 messages/seconde** par bot (global)
-- **1 message/seconde** par chat (recommandé)
-- **20 messages/minute** par groupe
-- Batch : toujours ajouter des délais entre les envois
-
-## Webhook vs Polling
-
-Workers → webhook obligatoire :
-```ts
-// wrangler.toml : pas de cron, c'est un webhook
-// POST https://api.telegram.org/bot{TOKEN}/setWebhook?url=https://my-worker.workers.dev/webhook
-```
-
-## Mini Apps
-
-```ts
-// Ouvrir une mini app depuis un bouton
-{
-  reply_markup: {
-    inline_keyboard: [[{
-      text: "Open App",
-      web_app: { url: "https://my-app.pages.dev" }
-    }]]
-  }
-}
-```
-
-### Validation initData côté serveur
-```ts
-import { createHmac } from 'crypto';
-
-function validateInitData(initData: string, botToken: string): boolean {
-  const params = new URLSearchParams(initData);
-  const hash = params.get('hash');
-  params.delete('hash');
-  const sorted = [...params.entries()].sort().map(([k,v]) => `${k}=${v}`).join('\n');
-  const secret = createHmac('sha256', 'WebAppData').update(botToken).digest();
-  const expected = createHmac('sha256', secret).update(sorted).digest('hex');
-  return hash === expected;
-}
-```
-
-## Gotchas
-
-1. **Message trop long** : max 4096 chars — splitter si besoin
-2. **Markdown parse mode** : utiliser `parse_mode: 'HTML'` (plus fiable que MarkdownV2)
-3. **Callback query** : toujours `answerCallbackQuery()` sinon le spinner tourne indéfiniment
-4. **Fichiers** : max 50MB download, 20MB upload via bot API
-5. **Fallback Telegraph** : toujours avoir une page telegra.ph de backup

package/dotfiles/rules/api-design.md

@@ -1,63 +0,0 @@
-# API Design
-
-## REST Conventions
-
-- URLs en kebab-case, noms de ressources au pluriel : `/api/v1/users`, `/api/v1/order-items`
-- Verbes HTTP sémantiques : GET (lecture), POST (création), PUT/PATCH (mise à jour), DELETE (suppression)
-- Versioning via URL prefix : `/api/v1/`
-
-## Response Envelope
-
-Toute réponse API doit suivre cette structure :
-
-```json
-{
-  "data": { ... },
-  "meta": {
-    "total": 150,
-    "limit": 20,
-    "offset": 0
-  },
-  "error": null
-}
-```
-
-En cas d'erreur :
-
-```json
-{
-  "data": null,
-  "meta": {},
-  "error": {
-    "code": "VALIDATION_ERROR",
-    "message": "Le champ email est requis."
-  }
-}
-```
-
-## Pagination OBLIGATOIRE
-
-Toute liste doit accepter `limit` + `offset` et retourner `total` dans `meta`. Ne jamais retourner une liste non bornée.
-
-## Status Codes
-
-| Code | Signification |
-|------|---------------|
-| 200  | Succès |
-| 201  | Ressource créée |
-| 400  | Requête invalide |
-| 401  | Non authentifié |
-| 403  | Accès interdit |
-| 404  | Ressource introuvable |
-| 422  | Erreur de validation |
-| 500  | Erreur serveur interne |
-
-## Rate Limiting Headers
-
-Inclure dans les réponses quand applicable :
-
-```
-X-RateLimit-Limit: 100
-X-RateLimit-Remaining: 42
-X-RateLimit-Reset: 1735689600
-```

package/dotfiles/rules/defensive-engineering.md

@@ -1,42 +0,0 @@
-# Defensive Engineering
-
-CRITICAL — apply to EVERY feature. Before writing ANY code, think through the full lifecycle: "What happens when this scales? What breaks? What are the edge cases?"
-
-## Scale & Pagination
-
-- NEVER assume a small, fixed number of items. Every list/query MUST support `limit` + `offset` and return `total`.
-- Frontend: paginate with "Load more" — never fetch unbounded data in one call.
-- Display counts from backend `total`, not loaded array `.length`.
-
-## Frontend ↔ Backend Sync
-
-- When adding/changing a backend endpoint, ALWAYS verify the frontend calls match (URL, params, response shape).
-- When changing a response shape, grep ALL frontend consumers — don't miss any caller.
-- When adding a new route file, verify it maps to the correct URL path (e.g., `functions/api/admin/foo.ts` → `/api/admin/foo`).
-- After rename/move of an endpoint, search for ALL old references (fetch calls, imports, tests).
-
-## Rate Limits & Platform Limits
-
-- Telegram: 30 msgs/sec — batch with delays, never fire-and-forget all at once.
-- Cloudflare Workers: 50 subrequests/invocation — chunk-based processing with self-invoking chain for large operations.
-- Any external API: assume it WILL rate-limit you. Build retry with backoff or chunking from day one.
-
-## Error Handling & Fallbacks
-
-- Every `fetch()` can fail: network error, timeout, 4xx, 5xx. Handle ALL cases, not just the happy path.
-- Show user-friendly errors, not raw API responses. Never expose internal errors to end users.
-- For background/async operations: always provide a status check mechanism (polling, webhook callback).
-- When a feature flag is OFF, related UI must hide gracefully — no broken references, no empty sections.
-
-## Telegram Mini App Projects — Mandatory Setup
-
-- Every mini app project MUST have a Telegraph (telegra.ph) backup page with all client links/contact info.
-- This serves as fallback if the bot or Cloudflare goes down (different infra = true redundancy).
-
-## Think Before Implementing
-
-- For every new feature, ask: "What if there are 10x more users/items/requests than today?"
-- For every API call, ask: "What if this returns empty? null? error? takes 30 seconds?"
-- For every state change, ask: "Who else reads this state? Will they break?"
-- For every DB query, ask: "Does this need an index? Will it scan the whole table at scale?"
-- For multi-project sync: when a fix applies to shared code, ALWAYS replicate to greenhouse-bot + frenchconnection-bot.

package/dotfiles/rules/docs-first.md

@@ -1,47 +0,0 @@
-# Documentation-First Rule
-
-## Principe
-
-AVANT de coder quoi que ce soit avec un framework/lib, TOUJOURS :
-1. Vérifier si la doc est déjà cachée localement dans `~/.claude/docs/`
-2. Si oui → la lire en priorité (pas de fetch réseau)
-3. Si non → fetcher via Context7 ou SiteMCP, puis sauvegarder les points clés dans `~/.claude/docs/`
-
-## Cache local de documentation
-
-Dossier : `~/.claude/docs/`
-
-Structure :
-```
-docs/
-├── nextjs.md          # Next.js patterns, API routes, App Router
-├── react.md           # React 19 patterns, hooks, server components
-├── cloudflare.md      # Workers, D1, KV, Pages
-├── cakephp.md         # CakePHP conventions, ORM, routing
-├── ionic.md           # Ionic/Angular patterns, Capacitor
-├── flutter.md         # Flutter widgets, state management
-├── tailwind.md        # Tailwind classes, config, plugins
-├── drizzle.md         # Drizzle ORM schema, queries, migrations
-├── telegram-bot.md    # Bot API, mini apps, webhooks
-├── n8n.md             # n8n nodes, workflows, webhooks
-└── {lib}.md           # Ajouté au fur et à mesure
-```
-
-## Quand documenter
-
-Après chaque projet, si un pattern/API/gotcha a été découvert :
-1. Ouvrir le fichier `~/.claude/docs/{framework}.md`
-2. Ajouter le pattern sous la bonne section
-3. Format : titre court + snippet de code + gotcha/piège éventuel
-
-## Outils disponibles
-
-- **Context7** (MCP) : `use context7` → docs versionnées de n'importe quelle lib npm/PyPI
-- **SiteMCP** (MCP) : docs complètes de sites crawlés (Next.js, Cloudflare, etc.)
-- **`~/.claude/docs/`** : cache Markdown local, lu en priorité, jamais expiré
-
-## Règle d'or
-
-Ne jamais coder "de mémoire" un framework qu'on n'a pas utilisé depuis > 2 semaines.
-Toujours vérifier les docs, même pour les APIs qu'on pense connaître.
-Les breaking changes entre versions sont la première cause de bugs silencieux.

package/dotfiles/rules/frontend.md

@@ -1,41 +0,0 @@
-# Frontend Rules
-
-## États obligatoires pour chaque composant qui fetch
-
-TOUJOURS implémenter les trois états :
-
-1. **Loading state** : spinner ou skeleton pendant le fetch
-2. **Empty state** : message clair si 0 résultat (jamais un composant vide sans explication)
-3. **Error state** : message d'erreur lisible, option de retry si pertinent
-
-## SSR / Next.js
-
-- JAMAIS lire `window`, `localStorage`, `sessionStorage` ou tout browser API pendant le render initial (serveur).
-- Utiliser `useEffect` pour accéder aux browser APIs côté client uniquement.
-- Le HTML généré côté serveur DOIT correspondre exactement au premier render client — sinon hydration mismatch.
-
-Exemple correct :
-```tsx
-const [value, setValue] = useState<string | null>(null);
-
-useEffect(() => {
-  setValue(localStorage.getItem('key'));
-}, []);
-```
-
-## Hydration
-
-- Les données dynamiques (date, heure, valeurs aléatoires) doivent être initialisées après montage via `useEffect`, jamais directement dans le state initial.
-- Tester explicitement les hydration warnings dans la console du navigateur.
-
-## Formulaires
-
-- Validation côté client ET côté serveur — toujours les deux.
-- Ne jamais faire confiance aux données envoyées par le client côté serveur.
-- Désactiver le bouton de soumission pendant le chargement pour éviter les doubles soumissions.
-
-## Accessibilité
-
-- Tous les `<input>` doivent avoir un `<label>` associé (via `for`/`htmlFor` ou `aria-label`).
-- Utiliser les rôles ARIA quand le composant ne correspond pas à un élément HTML sémantique natif.
-- Les images doivent avoir un attribut `alt` descriptif (ou `alt=""` si purement décoratif).

package/dotfiles/rules/git-workflow.md

@@ -1,57 +0,0 @@
-# Git Workflow
-
-## Conventional Commits
-
-Format : `type(scope): description courte`
-
-| Type       | Usage |
-|------------|-------|
-| `feat:`    | Nouvelle fonctionnalité |
-| `fix:`     | Correction de bug |
-| `refactor:`| Refactoring sans changement de comportement |
-| `chore:`   | Maintenance, dépendances, config |
-| `docs:`    | Documentation uniquement |
-| `test:`    | Ajout ou modification de tests |
-| `perf:`    | Amélioration de performance |
-
-Exemples :
-```
-feat(auth): add JWT refresh token rotation
-fix(orders): correct total calculation on discounted items
-chore: upgrade dependencies to latest minor versions
-```
-
-## Branches
-
-- TOUJOURS créer une nouvelle branche sauf instruction contraire.
-- Nommage kebab-case descriptif :
-  - `fix/auth-token-refresh`
-  - `feat/add-oauth-google`
-  - `refactor/orders-service-cleanup`
-- Ne jamais commiter directement sur `main` ou `master`.
-
-## Avant de commiter
-
-1. Lancer le linter/formatter s'il existe
-2. Vérifier qu'aucun secret ou fichier `.env` n'est inclus
-3. Relire le diff (`git diff --staged`) avant de confirmer
-
-## Pull Requests
-
-- Titre court et clair (< 72 caractères)
-- Description : contexte du changement + test plan
-- Lier l'issue ou la tâche Monday associée si applicable
-
-## PR Review Loop
-
-1. Après création, récupérer les commentaires automatisés :
-   - `gh pr view <number> --comments`
-   - `gh api repos/{owner}/{repo}/pulls/{number}/comments`
-2. Évaluer chaque commentaire : corriger ce qui est valide, ignorer ce qui ne l'est pas
-3. Push des corrections, notifier l'utilisateur pour review du diff v1 → v2
-
-## Règles absolues
-
-- JAMAIS de `Co-Authored-By` dans les commits
-- JAMAIS mentionner Claude, AI ou un assistant dans les messages de commit, PR ou issues
-- JAMAIS `git push --force` sur main/master

package/dotfiles/rules/never-assume.md

@@ -1,39 +0,0 @@
-# Never Assume
-
-## Environnement & Outils
-
-- JAMAIS assumer qu'un framework, lib ou commande est installé → vérifier d'abord (`which`, `ls node_modules`, `package.json`)
-- JAMAIS assumer la version d'un outil → lire `package.json`, `pubspec.yaml`, `composer.json`, etc.
-
-## Structure du projet
-
-- JAMAIS assumer la structure d'un projet → lire le code existant avant de modifier quoi que ce soit
-- JAMAIS créer un fichier sans avoir vérifié qu'un fichier similaire n'existe pas déjà
-- JAMAIS assumer qu'un pattern utilisé ailleurs dans le projet est le bon — vérifier les conventions locales
-
-## APIs & Données
-
-- JAMAIS assumer qu'une API retourne un format spécifique → vérifier la doc ou le code
-- JAMAIS assumer qu'une liste est non-vide → toujours gérer le cas `[]` ou `null`
-- JAMAIS assumer qu'un champ est présent dans une réponse → accès défensif avec fallback
-
-## TypeScript & Qualité
-
-- JAMAIS utiliser `@ts-ignore` sans justification explicite dans un commentaire expliquant pourquoi
-- JAMAIS utiliser `eslint-disable` sans justification explicite
-- JAMAIS utiliser `any` comme type sans documenter pourquoi c'est inévitable
-- Alternative : typer correctement, utiliser `unknown` + type guard si le type est incertain
-
-## Comportement en cas d'ambiguïté
-
-- TOUJOURS poser des questions en cas d'ambiguïté — accompagnement et précision > vitesse
-- Si une instruction est floue, demander une clarification plutôt que d'interpréter et potentiellement mal comprendre
-- Si deux approches semblent valides, présenter les options à l'utilisateur avant de choisir
-
-## Principe "Mistakes become rules"
-
-Chaque erreur récurrente identifiée en session de travail doit devenir une nouvelle règle dans `~/.claude/rules/`.
-
-- Chaque interdit DOIT avoir une alternative : "Ne jamais X → utiliser Y à la place"
-- Les règles doivent être actionnables, pas juste des interdictions vagues
-- Exemple : "JAMAIS concaténer des strings SQL → TOUJOURS utiliser des requêtes paramétrées"

package/dotfiles/rules/security.md

@@ -1,46 +0,0 @@
-# Security Rules
-
-## OWASP Top 10
-
-Vérifier à chaque PR que le code ne présente aucune des vulnérabilités OWASP Top 10 :
-injection, broken auth, exposition de données sensibles, XXE, broken access control, misconfiguration, XSS, insecure deserialization, composants vulnérables, logging insuffisant.
-
-## Secrets & Credentials
-
-- Secrets UNIQUEMENT dans `.env` / variables d'environnement — JAMAIS dans le code source.
-- `.env` DOIT être dans `.gitignore`. Vérifier avant chaque commit.
-- Ne jamais logger de tokens, mots de passe ou clés API, même en debug.
-
-## SQL Injection
-
-- Requêtes paramétrées UNIQUEMENT — jamais de concaténation de chaînes avec des données utilisateur.
-
-```ts
-// JAMAIS
-db.query(`SELECT * FROM users WHERE id = ${userId}`);
-
-// TOUJOURS
-db.query('SELECT * FROM users WHERE id = ?', [userId]);
-```
-
-## XSS (Cross-Site Scripting)
-
-- Échapper tout input utilisateur affiché dans le DOM.
-- Ne jamais utiliser `innerHTML` avec des données non sanitisées.
-- Utiliser les mécanismes d'échappement natifs du framework (React échappe par défaut, sauf `dangerouslySetInnerHTML`).
-
-## CORS
-
-- Configurer explicitement les origines autorisées — jamais `*` en production.
-- Limiter les méthodes et headers autorisés au strict nécessaire.
-
-## Authentification & Tokens
-
-- Tokens JWT/session avec expiration courte.
-- Refresh tokens stockés en `httpOnly` cookies (pas en localStorage).
-- Invalider les tokens côté serveur à la déconnexion.
-- Rate limiter les endpoints d'authentification (login, reset password).
-
-## Signalement
-
-Si du code insécurisé est découvert en travaillant, le signaler immédiatement à l'utilisateur — ne pas ignorer.