workers-best-practices

bởi Cloudflare

Xem xét và tác giả mã Cloudflare Workers theo các phương pháp thực hành tốt nhất cho sản xuất. Tải khi viết Workers mới, xem xét mã Worker, cấu hình wrangler.jsonc, hoặc kiểm tra các phản mẫu Workers phổ biến (streaming, floating promises, global state, secrets, bindings, observability). Ưu tiên truy xuất từ tài liệu Cloudflare hơn kiến thức được huấn luyện trước.

npx skills add https://github.com/cloudflare/skills --skill workers-best-practices
Tải ZIPGitHub
1.8k

Your knowledge of Cloudflare Workers APIs, types, and configuration may be outdated. Prefer retrieval over pre-training for any Workers code task — writing or reviewing.

Retrieval Sources

Fetch the latest versions before writing or reviewing Workers code. Do not rely on baked-in knowledge for API signatures, config fields, or binding shapes.

SourceHow to retrieveUse for
Workers best practicesFetch https://developers.cloudflare.com/workers/best-practices/workers-best-practices/Canonical rules, patterns, anti-patterns
Workers typesSee references/review.md for retrieval stepsAPI signatures, handler types, binding types
Wrangler config schemanode_modules/wrangler/config-schema.jsonConfig fields, binding shapes, allowed values
Cloudflare docsSearch tool or https://developers.cloudflare.com/workers/API reference, compatibility dates/flags

FIRST: Fetch Latest References

Before reviewing or writing Workers code, retrieve the current best practices page and relevant type definitions. If the project's node_modules has an older version, prefer the latest published version.

# Fetch latest workers types
mkdir -p /tmp/workers-types-latest && \
  npm pack @cloudflare/workers-types --pack-destination /tmp/workers-types-latest && \
  tar -xzf /tmp/workers-types-latest/cloudflare-workers-types-*.tgz -C /tmp/workers-types-latest
# Types at /tmp/workers-types-latest/package/index.d.ts

Reference Documentation

  • references/rules.md — all best practice rules with code examples and anti-patterns
  • references/review.md — type validation, config validation, binding access patterns, review process

Rules Quick Reference

Configuration

RuleSummary
Compatibility dateSet compatibility_date to today on new projects; update periodically on existing ones
nodejs_compatEnable the nodejs_compat flag — many libraries depend on Node.js built-ins
wrangler typesRun wrangler types to generate Env — never hand-write binding interfaces
SecretsUse wrangler secret put, never hardcode secrets in config or source
wrangler.jsoncUse JSONC config for non-secret settings — newer features are JSON-only

Request & Response Handling

RuleSummary
StreamingStream large/unknown payloads — never await response.text() on unbounded data
waitUntilUse ctx.waitUntil() for post-response work; do not destructure ctx

Architecture

RuleSummary
Bindings over RESTUse in-process bindings (KV, R2, D1, Queues) — not the Cloudflare REST API
Queues & WorkflowsMove async/background work off the critical path
Service bindingsUse service bindings for Worker-to-Worker calls — not public HTTP
HyperdriveAlways use Hyperdrive for external PostgreSQL/MySQL connections

Observability

RuleSummary
Logs & TracesEnable observability in config with head_sampling_rate; use structured JSON logging

Code Patterns

RuleSummary
No global request stateNever store request-scoped data in module-level variables
Floating promisesEvery Promise must be awaited, returned, voided, or passed to ctx.waitUntil()

Security

RuleSummary
Web CryptoUse crypto.randomUUID() / crypto.getRandomValues() — never Math.random() for security
No passThroughOnExceptionUse explicit try/catch with structured error responses

Anti-Patterns to Flag

Anti-patternWhy it matters
await response.text() on unbounded dataMemory exhaustion — 128 MB limit
Hardcoded secrets in source or configCredential leak via version control
Math.random() for tokens/IDsPredictable, not cryptographically secure
Bare fetch() without await or waitUntilFloating promise — dropped result, swallowed error
Module-level mutable variables for request stateCross-request data leaks, stale state, I/O errors
Cloudflare REST API from inside a WorkerUnnecessary network hop, auth overhead, added latency
ctx.passThroughOnException() as error handlingHides bugs, makes debugging impossible
Hand-written Env interfaceDrifts from actual wrangler config bindings
Direct string comparison for secret valuesTiming side-channel — use crypto.subtle.timingSafeEqual
Destructuring ctx (const { waitUntil } = ctx)Loses this binding — throws "Illegal invocation" at runtime
any on Env or handler paramsDefeats type safety for all binding access
as unknown as T double-castHides real type incompatibilities — fix the design
implements on platform base classes (instead of extends)Legacy — loses this.ctx, this.env. Applies to DurableObject, WorkerEntrypoint, Workflow
env.X inside platform base classShould be this.env.X in classes extending DurableObject, WorkerEntrypoint, etc.

Review Workflow

  1. Retrieve — fetch latest best practices page, workers types, and wrangler schema
  2. Read full files — not just diffs; context matters for binding access patterns
  3. Check types — binding access, handler signatures, no any, no unsafe casts (see references/review.md)
  4. Check config — compatibility_date, nodejs_compat, observability, secrets, binding-code consistency
  5. Check patterns — streaming, floating promises, global state, serialization boundaries
  6. Check security — crypto usage, secret handling, timing-safe comparisons, error handling
  7. Validate with toolsnpx tsc --noEmit, lint for no-floating-promises
  8. Reference rules — see references/rules.md for each rule's correct pattern

Scope

This skill covers Workers-specific best practices and code review. For related topics:

  • Durable Objects: load the durable-objects skill
  • Workflows: see Rules of Workflows
  • Wrangler CLI commands: load the wrangler skill

Principles

  • Be certain. Retrieve before flagging. If unsure about an API, config field, or pattern, fetch the docs first.
  • Provide evidence. Reference line numbers, tool output, or docs links.
  • Focus on what developers will copy. Workers code in examples and docs gets pasted into production.
  • Correctness over completeness. A concise example that works beats a comprehensive one with errors.

Thêm skills từ Cloudflare

agents-sdk
Cloudflare
Xây dựng AI agent trên Cloudflare Workers bằng Agents SDK. Tải khi tạo agent có trạng thái, quy trình làm việc bền vững, ứng dụng WebSocket thời gian thực, tác vụ theo lịch, máy chủ MCP hoặc ứng dụng trò chuyện. Bao gồm lớp Agent, quản lý trạng thái, RPC có thể gọi, tích hợp Workflows và React hooks.
official
building-ai-agent-on-cloudflare
Cloudflare
| Xây dựng các tác tử AI trên Cloudflare bằng Agents SDK với quản lý trạng thái, WebSocket thời gian thực, tác vụ theo lịch, tích hợp công cụ và khả năng trò chuyện. Tạo mã tác tử sẵn sàng cho production được triển khai lên Workers. Sử dụng khi: người dùng muốn "xây dựng tác tử", "tác tử AI", "tác tử trò chuyện", "tác tử có trạng thái", đề cập đến "Agents SDK", cần "AI thời gian thực", "WebSocket AI", hoặc hỏi về "quản lý trạng thái" tác tử, "tác vụ theo lịch" hoặc "gọi công cụ".
developmentofficial
building-mcp-server-on-cloudflare
Cloudflare
| Xây dựng máy chủ MCP (Model Context Protocol) từ xa trên Cloudflare Workers với các công cụ, xác thực OAuth và triển khai sản xuất. Tạo mã máy chủ, cấu hình nhà cung cấp xác thực và triển khai lên Workers. Sử dụng khi: người dùng muốn "xây dựng máy chủ MCP", "tạo công cụ MCP", "MCP từ xa", "triển khai MCP", thêm "OAuth vào MCP" hoặc đề cập đến Model Context Protocol trên Cloudflare. Cũng kích hoạt khi có "xác thực MCP" hoặc "triển khai MCP".
developmentofficial
cloudflare
Cloudflare
Comprehensive Cloudflare platform skill covering Workers, Pages, storage (KV, D1, R2), AI (Workers AI, Vectorize, Agents SDK), networking (Tunnel, Spectrum), security (WAF, DDoS), and infrastructure-as-code (Terraform, Pulumi). Use for any Cloudflare development task. references: - workers - pages - d1 - durable-objects - workers-ai
official
durable-objects
Cloudflare
Tạo và xem xét Cloudflare Durable Objects. Sử dụng khi xây dựng phối hợp có trạng thái (phòng chat, trò chơi nhiều người chơi, hệ thống đặt chỗ), triển khai phương thức RPC, lưu trữ SQLite, báo thức, WebSockets, hoặc xem xét mã DO để áp dụng các phương pháp tốt nhất. Bao gồm tích hợp Workers, cấu hình wrangler và kiểm thử với Vitest.
official
sandbox-sdk
Cloudflare
Xây dựng các ứng dụng sandbox để thực thi mã an toàn. Tải khi xây dựng hệ thống thực thi mã AI, trình thông dịch mã, hệ thống CI/CD, môi trường phát triển tương tác hoặc thực thi mã không đáng tin cậy. Bao gồm vòng đời Sandbox SDK, lệnh, tệp, trình thông dịch mã và URL xem trước.
official
web-perf
Cloudflare
Phân tích hiệu suất web bằng Chrome DevTools MCP. Đo lường Core Web Vitals (FCP, LCP, TBT, CLS, Speed Index), xác định tài nguyên chặn hiển thị, chuỗi phụ thuộc mạng, thay đổi bố cục, vấn đề bộ nhớ đệm và lỗ hổng khả năng tiếp cận. Sử dụng khi được yêu cầu kiểm tra, lập hồ sơ, gỡ lỗi hoặc tối ưu hóa hiệu suất tải trang, điểm Lighthouse hoặc tốc độ trang web.
official
wrangler
Cloudflare
CLI của Cloudflare Workers để triển khai, phát triển và quản lý Workers, KV, R2, D1, Vectorize, Hyperdrive, Workers AI, Containers, Queues, Workflows, Pipelines và Secrets Store. Tải trước khi chạy các lệnh wrangler để đảm bảo cú pháp chính xác và các phương pháp tốt nhất.
official