3f3a142b76
Сек-ревью коммита нашло две дыры: 1. FieldCompetitorScreen: href из where_found рендерился без проверки схемы — javascript:-ссылка выполнила бы скрипт при клике. Добавлен safeUrl(): кликабельны только http/https, остальное — простым текстом. +TDD-тест. 2. serve.js (локальный dev-сервер прототипов): обход каталога. realpath-сверка с ROOT + require isFile + bind 127.0.0.1. Autopodbor FieldCompetitor 13/13. Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>