Add comprehensive WebSocket learning curriculum with 12 progressive steps by NAGA-29 · Pull Request #1 · NAGA-29/WebSocket-Learn

NAGA-29 · 2026-03-31T14:01:13Z

Summary

This PR adds a complete educational curriculum for learning WebSocket development through building a multiplayer snake game. The curriculum progresses from basic WebSocket concepts through advanced topics like room management, latency handling, interpolation, reconnection, and optimization.

Key Changes

Step 0: Conceptual foundation explaining HTTP vs WebSocket differences
Step 1: Basic WebSocket echo server and client implementation
Step 2: Multi-client broadcast messaging with connection management
Step 3: Input handling pattern (sending intent rather than state)
Step 4: Server-authoritative state management architecture
Step 5: Game loop implementation with tick-based updates
Step 6: Full snake game with food mechanics and multi-player support
Step 7: Latency and jitter simulation to understand network delays
Step 8: Client-side interpolation for smooth movement between server updates
Step 9: Room-based game partitioning to support multiple concurrent games
Step 10: Heartbeat/ping-pong mechanism for detecting disconnections
Step 11: Optimization techniques including message size reduction and delta compression
Step 12: Advanced concepts for multi-server architectures and Redis Pub/Sub

Implementation Details

Technology Stack: Go (echo framework + gorilla/websocket) for backend, vanilla JavaScript + Canvas API for frontend
Architecture Pattern: Server-authoritative design where the server maintains game state truth and clients only send input
Game Mechanics: Grid-based snake movement, food spawning, collision detection, and score tracking
Network Optimization: Demonstrates both full-state and delta-based message transmission with size comparisons
Robustness: Includes connection lifecycle management, graceful disconnection handling, and reconnection patterns

Each step includes both server and client code with detailed README documentation explaining the concepts, design decisions, and implementation patterns.

https://claude.ai/code/session_01Cg4waeVYhPHpatXEsQMbfB

Summary by CodeRabbit

新機能
- 日本語の12段階WebSocket学習カリキュラムを追加。実践的なブラウザデモ群（エコー、ブロードキャスト、入力同期、ゲームループ、補間、遅延可視化、スネーク系ゲーム、部屋/再接続、最適化など）を収録。
ドキュメント
- 各ステップに詳細なREADME、実習課題、検証手順、理解チェックリストを日本語で追加。

Full learning repository for WebSocket fundamentals using a Slither.io-style snake game as the teaching subject. Each step includes README with concept explanation, full Go server code, and HTML/JS client code. Steps covered: - Step 0: HTTP vs WebSocket theory - Step 1: Echo server (first connection) - Step 2: Broadcast (1-to-many) - Step 3: Input sending (intent over state) - Step 4: Server-authoritative state management - Step 5: Game loop (tick-based updates) - Step 6: Full snake game with food and growth - Step 7: Lag and sync drift experience - Step 8: Client-side interpolation - Step 9: 10-player room management - Step 10: Disconnection handling and heartbeat - Step 11: Optimization and size measurement - Step 12: Advanced topics (multi-server, Redis, WebRTC) https://claude.ai/code/session_01Cg4waeVYhPHpatXEsQMbfB

coderabbitai · 2026-03-31T14:01:27Z

Note

Reviews paused

It looks like this branch is under active development. To avoid overwhelming you with review comments due to an influx of new commits, CodeRabbit has automatically paused this review. You can configure this behavior by changing the reviews.auto_review.auto_pause_after_reviewed_commits setting.

Use the following commands to manage reviews:

@coderabbitai resume to resume automatic reviews.
@coderabbitai review to trigger a single review.

Use the checkboxes below for quick actions:

▶️ Resume reviews
🔍 Trigger review

📝 Walkthrough

Walkthrough

Step0〜Step12の段階的WebSocket学習カリキュラムを追加。各ステップは教材（README）、ブラウザクライアント（HTML/JS）、Goサーバ（Echo + gorilla/websocket）を用い、エコー→ブロードキャスト→入力同期→サーバ状態→ゲームループ→Snake→遅延→補間→ルーム→再接続→最適化→スケーリングを順に扱う。

Changes

Cohort / File(s)	Summary
Repository README `README.md`	全体カリキュラム、Step0–12の学習ロードマップ、進行ルール、出力要件、標準フォルダ構成、最終チェックリストを追加（ドキュメントのみ）。
Step 0: HTTP vs WebSocket `step-00-http-vs-websocket/README.md`	HTTPとWebSocketの概念比較、ハンドシェイク説明、演習/自己チェックを追加（ドキュメント）。
Step 1: Echo (基本接続) `step-01-echo/README.md`, `step-01-echo/client/index.html`, `step-01-echo/server/main.go`, `step-01-echo/server/go.mod`	ブラウザのエコークライアントUIとGoサーバを追加。`/ws`でUpgradeし受信メッセージをそのまま返す実装。
Step 2: Broadcast `step-02-broadcast/README.md`, `step-02-broadcast/client/index.html`, `step-02-broadcast/server/main.go`, `step-02-broadcast/server/go.mod`	複数接続管理とブロードキャスト実装、接続集合(map)とmutex保護、JSONメッセージの送受信。
Step 3: Input (操作送信) `step-03-input/README.md`, `step-03-input/client/index.html`, `step-03-input/server/main.go`, `step-03-input/server/go.mod`	クライアントが方向入力を送信し、サーバが最新入力を保持しack/stateをブロードキャストする実装（入力検証・排他制御）。
Step 4: Server State `step-04-server-state/README.md`, `step-04-server-state/client/index.html`, `step-04-server-state/server/main.go`, `step-04-server-state/server/go.mod`	サーバが位置/方向の権威を持つ実装。Player構造、Canvas描画クライアント、即時状態更新とブロードキャストを追加。
Step 5: Game Loop `step-05-game-loop/README.md`, `step-05-game-loop/client/index.html`, `step-05-game-loop/server/main.go`, `step-05-game-loop/server/go.mod`	tickerベースのゲームループ追加。入力処理とtick更新の分離、tickごとのbroadcast実装。
Step 6: Snake (グリッド実装) `step-06-snake/README.md`, `step-06-snake/client/index.html`, `step-06-snake/server/main.go`, `step-06-snake/server/go.mod`	グリッドベースのSnake実装（body管理、食料、スコア、描画）。衝突/成長/方向反転防止などを実装。
Step 7: Lag (遅延実験) `step-07-lag/README.md`, `step-07-lag/client/index.html`, `step-07-lag/server/main.go`, `step-07-lag/server/go.mod`	サーバ側で遅延・ジッタをシミュレートする実験環境。クライアントは受信間隔統計や可視化を行う。
Step 8: Interpolation `step-08-interpolation/README.md`, `step-08-interpolation/client/index.html`, `step-08-interpolation/server/main.go`, `step-08-interpolation/server/go.mod`	クライアント補間の導入（prev/next snapshot、線形補間）、即時描画との比較ビューを追加。
Step 9: Rooms `step-09-rooms/README.md`, `step-09-rooms/client/index.html`, `step-09-rooms/server/main.go`, `step-09-rooms/server/go.mod`	部屋単位の管理（Room作成・割当・per-room game loop）を導入。roomライフサイクルと同期ロジックを追加。
Step 10: Reconnect (再接続/Heartbeat) `step-10-reconnect/README.md`, `step-10-reconnect/client/index.html`, `step-10-reconnect/server/main.go`, `step-10-reconnect/server/go.mod`	Ping/Pongハートビート、ReadDeadline/SetPongHandler、ping goroutineと停止ロジック、クライアント自動再接続を追加。
Step 11: Optimization (差分/統計) `step-11-optimization/README.md`, `step-11-optimization/client/index.html`, `step-11-optimization/server/main.go`, `step-11-optimization/server/go.mod`	全量/軽量(JSON差分)比較、サーバでのシリアライズサイズ計測と`stats`メッセージ送信を実装。
Step 12: Advanced (スケーリング設計) `step-12-advanced/README.md`	マルチサーバ設計、Room配置とセッションアフィニティ、Redis Pub/Subの利用場面・代替手段の解説（ドキュメントのみ）。

Sequence Diagram(s)

sequenceDiagram
    participant Client
    participant FrontendServer as Server
    participant RoomLoop as Room/GameLoop

    Client->>FrontendServer: WebSocket接続 /ws
    FrontendServer->>FrontendServer: findOrCreateRoom()
    FrontendServer->>RoomLoop: register client into room
    Note right of RoomLoop: Room runs ticker loop
    RoomLoop->>RoomLoop: tick → update game state
    RoomLoop->>FrontendServer: broadcast state to room clients
    FrontendServer->>Client: state (ws message)
    Client->>FrontendServer: input (ws message)
    FrontendServer->>RoomLoop: apply input (update direction)

Estimated code review effort

🎯 4 (Complex) | ⏱️ ~45 minutes

Poem

🐰 ぴょんと繋いだ ws の糸、
エコーから部屋へ、みんなで走る。
遅延も補間も学びつつ、
差分で軽く、再接続は優しく。
次のステップへ、しっぽを揺らし跳ぶ。

🚥 Pre-merge checks | ✅ 2 | ❌ 1

❌ Failed checks (1 warning)

Check name	Status	Explanation	Resolution
Docstring Coverage	⚠️ Warning	Docstring coverage is 36.21% which is insufficient. The required threshold is 80.00%.	Write docstrings for the functions missing them to satisfy the coverage threshold.

✅ Passed checks (2 passed)

Check name	Status	Explanation
Description Check	✅ Passed	Check skipped - CodeRabbit’s high-level summary is enabled.
Title check	✅ Passed	プルリクエストのタイトルはチェンジセット全体の主要な変更を明確に要約しており、12段階のプログレッシブなWebSocket学習カリキュラムを追加することを正確に説明しています。

_{✏️ Tip: You can configure your own custom pre-merge checks in the settings.}

✨ Finishing Touches

📝 Generate docstrings

Create stacked PR
Commit on current branch

🧪 Generate unit tests (beta)

Create PR with unit tests
Commit unit tests in branch claude/websocket-learning-report-Wwt4X

Thanks for using CodeRabbit! It's free for OSS, and your support helps us grow. If you like it, consider giving us a shout-out.

❤️ Share

_{Comment @coderabbitai help to get the list of available commands and usage tips.}

Copilot

Pull request overview

This PR introduces a 12-step WebSocket learning curriculum (Go + Echo + gorilla/websocket backend, vanilla JS + Canvas frontend) that progressively builds toward a simple multiplayer snake game and then expands into real-world concerns like rooms, reconnection, and basic optimization.

Changes:

Added Step 0–12 curriculum documentation, including quizzes/exercises and progression guidance in the root README.
Implemented step-by-step server/client examples for echo, broadcast, input intent, server-authoritative state, tick loop, snake mechanics, lag simulation, interpolation, rooms, reconnect/heartbeat, and optimization instrumentation.
Added per-step Go modules for reproducible builds.

Reviewed changes

Copilot reviewed 47 out of 47 changed files in this pull request and generated 21 comments.

Show a summary per file

File	Description
README.md	Top-level curriculum overview and step index
step-00-http-vs-websocket/README.md	Conceptual foundation (HTTP vs WebSocket)
step-01-echo/README.md	Step 1 explanation and run instructions
step-01-echo/server/go.mod	Step 1 Go module dependencies
step-01-echo/server/main.go	Step 1 echo server implementation
step-01-echo/client/index.html	Step 1 client UI for echo testing
step-02-broadcast/README.md	Step 2 explanation (broadcast)
step-02-broadcast/server/go.mod	Step 2 Go module dependencies
step-02-broadcast/server/main.go	Step 2 multi-client broadcast server
step-02-broadcast/client/index.html	Step 2 client UI for broadcast chat
step-03-input/README.md	Step 3 explanation (send input/intent)
step-03-input/server/go.mod	Step 3 Go module dependencies
step-03-input/server/main.go	Step 3 input tracking + broadcast
step-03-input/client/index.html	Step 3 client UI for input sending/display
step-04-server-state/README.md	Step 4 explanation (server-authoritative state)
step-04-server-state/server/go.mod	Step 4 Go module dependencies
step-04-server-state/server/main.go	Step 4 authoritative state + broadcast
step-04-server-state/client/index.html	Step 4 client rendering of server state
step-05-game-loop/README.md	Step 5 explanation (tick loop)
step-05-game-loop/server/go.mod	Step 5 Go module dependencies
step-05-game-loop/server/main.go	Step 5 tick loop + periodic broadcast
step-05-game-loop/client/index.html	Step 5 client UI with tick/debug display
step-06-snake/README.md	Step 6 explanation (snake body/food)
step-06-snake/server/go.mod	Step 6 Go module dependencies
step-06-snake/server/main.go	Step 6 snake mechanics + food + state broadcast
step-06-snake/client/index.html	Step 6 client rendering + scoreboard
step-07-lag/README.md	Step 7 explanation (latency/jitter)
step-07-lag/server/go.mod	Step 7 Go module dependencies
step-07-lag/server/main.go	Step 7 server-side delay simulation + debug fields
step-07-lag/client/index.html	Step 7 client stats panel + interval graph
step-08-interpolation/README.md	Step 8 explanation (interpolation)
step-08-interpolation/server/go.mod	Step 8 Go module dependencies
step-08-interpolation/server/main.go	Step 8 server emitting tick/time for interpolation experiments
step-08-interpolation/client/index.html	Step 8 side-by-side raw vs interpolated rendering
step-09-rooms/README.md	Step 9 explanation (rooms)
step-09-rooms/server/go.mod	Step 9 Go module dependencies
step-09-rooms/server/main.go	Step 9 room partitioning + per-room loop
step-09-rooms/client/index.html	Step 9 client showing room metadata + gameplay
step-10-reconnect/README.md	Step 10 explanation (heartbeat/reconnect patterns)
step-10-reconnect/server/go.mod	Step 10 Go module dependencies
step-10-reconnect/server/main.go	Step 10 heartbeat ping/pong + disconnection detection
step-10-reconnect/client/index.html	Step 10 client with auto-reconnect + status/log
step-11-optimization/README.md	Step 11 explanation (message size / delta concepts)
step-11-optimization/server/go.mod	Step 11 Go module dependencies
step-11-optimization/server/main.go	Step 11 state size measurement + stats message
step-11-optimization/client/index.html	Step 11 client stats panel + size graph
step-12-advanced/README.md	Step 12 advanced discussion (multi-server, Redis Pub/Sub, alternatives)

💡 Add Copilot custom instructions for smarter, more guided reviews. Learn how to get started.

Copilot · 2026-03-31T14:11:18Z

+	data, _ := json.Marshal(GameState{Type: "state", Snakes: sc})
+	for _, conn := range cc {
+		conn.WriteMessage(websocket.TextMessage, data)
+	}


broadcastState() と ping 送信用 goroutine が同じ *websocket.Conn に対して同時に WriteMessage を呼びうるため、gorilla/websocket の「同一コネクションへの同時書き込み禁止」に抵触します（データ競合/破損/panic の原因）。各接続ごとに write を 1 goroutine に集約するか、sync.Mutex 等で write を直列化し、ping は WriteControl（+ write deadline）で送る構成にしてください。

Copilot · 2026-03-31T14:11:18Z

+			case <-ticker.C:
+				// PingMessage を送信
+				if err := conn.WriteMessage(websocket.PingMessage, nil); err != nil {
+					log.Printf("ping 送信エラー: %v", err)
+					return


ping 送信が conn.WriteMessage(websocket.PingMessage, ...) を呼ぶ一方で、他 goroutine（broadcastState や ack 送信）が同じ conn に書き込む可能性があり、同時 write になります。各接続で write を 1 goroutine に集約するか、write 用 mutex で WriteMessage/WriteControl を直列化してください。

Copilot · 2026-03-31T14:11:19Z

+	fullMsg := FullState{Type: "state", Snakes: sc}
+	fullData, _ := json.Marshal(fullMsg)
+


fullData, _ := json.Marshal(fullMsg) として Marshal エラーを無視しています。失敗すると fullData が nil（len=0）になり、以降の統計や送信が壊れるので、エラーを扱って失敗時はログ + 送信スキップ等にしてください。

Copilot · 2026-03-31T14:11:19Z

+		log.Printf("tick %d: full=%d bytes, light=%d bytes, ratio=%.1f%%, players=%d",
+			tick, len(fullData), len(lightData),
+			float64(len(lightData))/float64(len(fullData))*100,
+			count)


この ratio 計算は len(fullData) が 0 の場合に 0 除算になります（上で Marshal エラーを無視しているので発生し得ます）。fullSize > 0 を確認してから計算するか、0 の場合は ratio を 0/NA 扱いにしてください。

Copilot · 2026-03-31T14:11:19Z

+	// 全クライアントに送信（全量版 + 統計）
+	for _, conn := range cc {
+		conn.WriteMessage(websocket.TextMessage, fullData)
+		conn.WriteMessage(websocket.TextMessage, statsData)
+	}


クライアント送信で WriteMessage の戻り値エラーを無視しているため、切断済み接続が clients に残り続けたり、送信失敗が検知できません。送信エラー時はその接続を close して map から削除する等の処理を入れると、教材としても「切断処理」の重要性が伝わりやすいです。

Copilot · 2026-03-31T14:11:23Z

+	clients[snakeID] = conn
+	mu.Unlock()


clients[snakeID] = conn を先に登録してから ack を WriteMessage しているため、別 goroutine の gameLoop() が broadcastState() で同じ conn に書き込む可能性があり、接続直後に同時 write が発生します。ack 送信後に clients 登録するか、write を直列化してください。

Copilot · 2026-03-31T14:11:23Z

+	snakes[id] = &Snake{ID: id, Body: body, Direction: "right", Color: color}
+	clients[id] = conn
+	mu.Unlock()


clients[id] = conn を行った直後に ack を WriteMessage しているため、別 goroutine の gameLoop() が broadcastState() で同じ conn に書き込む可能性があり、接続直後に同時 write になります。ack 送信後に clients に登録するか、write を直列化してください。

Copilot · 2026-03-31T14:11:23Z

+	room.addPlayer(snakeID, conn, snake)
+	log.Printf("プレイヤー %s が部屋 %s に入室（現在%d人）", snakeID, room.ID, room.PlayerCount())
+
+	// 自分のID と 部屋IDを通知
+	ack, _ := json.Marshal(GameState{


room.addPlayer(..., conn, ...) で接続を部屋の Clients に登録した直後に ack を conn.WriteMessage していますが、部屋のゲームループ（別 goroutine）が同じ conn に broadcastState() で書き込み得るため、接続直後に同時 write が起きます。ack 送信後に Clients 登録するか、write を直列化してください。

Copilot · 2026-03-31T14:11:24Z

+	snakes[id] = &FullSnake{ID: id, Body: body, Direction: "right", Color: color}
+	clients[id] = conn
+	mu.Unlock()
+
+	ack, _ := json.Marshal(FullState{Type: "state", MyID: id, Snakes: map[string]*FullSnake{}})


clients[id] = conn で登録後すぐに ack を conn.WriteMessage しているため、別 goroutine の gameLoop() が broadcastWithStats() で同じ conn に書き込む可能性があり、接続直後に同時 write が起きます。ack 送信後に clients 登録するか、write を直列化してください。

Copilot · 2026-03-31T14:11:24Z

+func generatePlayerID() string {
+	idCounter++
+	return fmt.Sprintf("player-%d", idCounter)
+}


generatePlayerID() がグローバル変数 idCounter をロックなしでインクリメントしているため、同時接続時にデータレース/ID重複が起こり得ます。mu で保護するか、atomic.AddInt64 などのアトミック操作にしてください。

coderabbitai

Actionable comments posted: 12

Note

Due to the large number of review comments, Critical severity comments were prioritized as inline comments.

🟠 Major comments (14)

step-08-interpolation/client/index.html-41-46 (1)
41-46: ⚠️ Potential issue | 🟠 Major

サーバー座標系(800x600)とキャンバスサイズ(390x300)が不一致です。

step-08-interpolation/server/main.go の Line 29-30 と不整合で、描画が途中で切れます。少なくとも同一サイズに揃えるか、座標スケーリングを入れてください。
🤖 Prompt for AI Agents
Verify each finding against the current code and only fix it if needed.

In `@step-08-interpolation/client/index.html` around lines 41 - 46, The client
canvas elements rawCanvas and interpCanvas are sized 390x300 but the server
sends coordinates in an 800x600 coordinate system, causing clipped/incorrect
drawing; either set both canvases to 800x600 to match the server coordinates or
implement client-side scaling: compute scaleX = canvas.width / 800 and scaleY =
canvas.height / 600 and multiply incoming x/y before drawing (apply same scaling
for interpolation logic), and ensure any hit-testing or bounds checks use the
scaled coordinates so rendering is not cut off.
step-08-interpolation/client/index.html-89-91 (1)
89-91: ⚠️ Potential issue | 🟠 Major

接続URLの固定値と多重接続を同時に防いでください。

ws://localhost:8080/ws 固定だと配信環境で壊れます。また onopen 前に連打すると複数接続が張られます。
🔧 提案差分
 btnConn.addEventListener('click', () => {
-  ws = new WebSocket('ws://localhost:8080/ws');
+  if (ws && (ws.readyState === WebSocket.OPEN || ws.readyState === WebSocket.CONNECTING)) return;
+  const scheme = location.protocol === 'https:' ? 'wss' : 'ws';
+  ws = new WebSocket(`${scheme}://${location.host}/ws`);
🤖 Prompt for AI Agents
Verify each finding against the current code and only fix it if needed.

In `@step-08-interpolation/client/index.html` around lines 89 - 91, btnConn
のクリックハンドラで直接 ws = new WebSocket('ws://localhost:8080/ws')
としているため接続URLが固定され配信環境で壊れるのと、onopen 前に連打すると複数接続が張られる問題があります。修正: 接続先は
location.protocol と location.host を使って動的に組み立てる（例: (location.protocol ===
'https:' ? 'wss:' : 'ws:') + '//' + location.host + '/ws'）し、既存の ws が存在して
readyState が CONNECTING(0) や OPEN(1) の場合は新しく作らない（既存を使うか一度 close()
してから再接続する）、またはボタンを一時無効化して onopen/onclose で状態を管理するように実装してください（参照: btnConn, ws,
WebSocket, onopen, onclose）。
step-08-interpolation/server/main.go-20-22 (1)
20-22: ⚠️ Potential issue | 🟠 Major

CheckOrigin が全許可になっており、クロスサイト接続を無制限に許可しています。

Line 21 の CheckOrigin: func(r *http.Request) bool { return true } は、学習用の環境であってもセキュリティ上危険なデフォルトです。許可するOriginを明示的に制限してください。
🔧 提案差分
 var upgrader = websocket.Upgrader{
-	CheckOrigin: func(r *http.Request) bool { return true },
+	CheckOrigin: func(r *http.Request) bool {
+		origin := r.Header.Get("Origin")
+		return origin == "http://localhost:8080" || origin == "http://127.0.0.1:8080"
+	},
 }
🤖 Prompt for AI Agents
Verify each finding against the current code and only fix it if needed.

In `@step-08-interpolation/server/main.go` around lines 20 - 22, The current
websocket.Upgrader named upgrader uses CheckOrigin: func(r *http.Request) bool {
return true }, which allows all cross-origin connections; replace this with a
CheckOrigin implementation that validates r.Header.Get("Origin") against a
whitelist of allowed origins (e.g., a slice or map of strings loaded from
constants or environment config) and only returns true when the Origin header
matches an entry; locate websocket.Upgrader upgrader and change CheckOrigin to
call a helper like isAllowedOrigin(origin string) or allowedOrigin(r
*http.Request) that performs the whitelist check and rejects everything else.
step-08-interpolation/server/main.go-166-169 (1)
166-169: ⚠️ Potential issue | 🟠 Major

WriteMessageのエラーを無視しており、切断済みクライアントが残留したまま毎tickで送信失敗が繰り返されます。

WriteMessageが失敗した接続は、handleWebSocketのReadMessageでエラーが検出されるまで、clientsマップに残ったままになります。その間、毎tickで同じ接続への送信が失敗し続けます。失敗時は接続をクローズして、clientsマップから即座に除去してください。
🤖 Prompt for AI Agents
Verify each finding against the current code and only fix it if needed.

In `@step-08-interpolation/server/main.go` around lines 166 - 169, WriteMessage
errors are being ignored causing disconnected sockets to stay in the clients map
and repeatedly fail; when websocket.WriteMessage returns an error you must close
that connection and immediately remove it from the shared clients map (the same
map used in handleWebSocket/ReadMessage) under the clients mutex. Modify the
broadcast loop (where data is written to each conn from clientsCopy) to check
the error return, call conn.Close(), acquire the clients mutex, delete the
corresponding entry from clients, release the mutex, and continue so failed
connections are cleaned up immediately.
step-08-interpolation/server/main.go-214-218 (1)
214-218: ⚠️ Potential issue | 🟠 Major

direction の許可値チェックが不足しています。

逆方向禁止だけでは不十分で、up/down/left/right 以外を弾く必要があります。現在は不正値で移動計算が崩れます。
🔧 提案差分
 		if msg.Type == "input" {
+			valid := map[string]bool{"up": true, "down": true, "left": true, "right": true}
+			if !valid[msg.Direction] {
+				continue
+			}
 			opposites := map[string]string{"up": "down", "down": "up", "left": "right", "right": "left"}
 			mu.Lock()
 			if s, ok := snakes[id]; ok && opposites[s.Direction] != msg.Direction {
 				s.Direction = msg.Direction
 			}
 			mu.Unlock()
 		}
🤖 Prompt for AI Agents
Verify each finding against the current code and only fix it if needed.

In `@step-08-interpolation/server/main.go` around lines 214 - 218, The code only
prevents reversing direction but doesn't validate that msg.Direction is one of
the allowed values; update the check around the opposites map and snake update
(the block using opposites, mu.Lock(), snakes[id], s.Direction and
msg.Direction) to first verify msg.Direction is in the allowed set
{"up","down","left","right"} (e.g., by checking membership in the opposites map)
and only then apply the existing reverse-direction guard before assigning
s.Direction; ensure you still hold mu while reading/updating snakes[id].
step-06-snake/client/index.html-67-70 (1)
67-70: ⚠️ Potential issue | 🟠 Major

接続ボタン連打でソケットを多重生成できます。

Line 67 で CONNECTING/OPEN のガードがないため、onopen 前の連打で接続リークが起きます。接続開始時点で再入防止を入れてください。
🔧 修正例
 btnConn.addEventListener('click', () => {
+  if (ws && (ws.readyState === WebSocket.OPEN || ws.readyState === WebSocket.CONNECTING)) {
+    return;
+  }
+  btnConn.disabled = true;
   ws = new WebSocket('ws://localhost:8080/ws');

   ws.onopen = () => setUI(true);
🤖 Prompt for AI Agents
Verify each finding against the current code and only fix it if needed.

In `@step-06-snake/client/index.html` around lines 67 - 70, ボタン連打で複数の WebSocket
が作られる問題は、btnConn の click ハンドラで既に接続中か開いているかをチェックしていないため発生しています；btnConn の click
ハンドラ内でグローバル変数 ws の readyState を確認し（WebSocket.CONNECTING /
WebSocket.OPEN）、接続中または既に開いている場合は新規接続処理を無視するか btnConn を一時無効化してから ws = new
WebSocket(...) を作成し、onopen/onclose で setUI とボタン有効化を制御するように変更してください（参照シンボル:
btnConn, ws, WebSocket, setUI）。
step-06-snake/server/main.go-242-246 (1)
242-246: ⚠️ Potential issue | 🟠 Major

ブロードキャストの同期的な書き込みがゲームループをブロックする可能性があります。

Line 242 の json.Marshal と Line 245 の conn.WriteMessage のエラーが無視されています。より深刻なのは、broadcastState() が 150ms ごとのゲームループから同期的に呼ばれ、遅延クライアントへの WriteMessage が他すべてのプレイヤーへの配信を遅延させることです。SetWriteDeadline でタイムアウトを設定し、失敗した接続を clients マップから削除してください。
🤖 Prompt for AI Agents
Verify each finding against the current code and only fix it if needed.

In `@step-06-snake/server/main.go` around lines 242 - 246, broadcastState()
currently ignores errors from json.Marshal and conn.WriteMessage and performs
synchronous writes which can block the 150ms game loop; change it to set a
per-connection write deadline using conn.SetWriteDeadline before each
WriteMessage, check and handle errors from json.Marshal and conn.WriteMessage,
and if a WriteMessage or deadline set fails remove that connection from the
shared clients map (safely, e.g. via the same mutex used when iterating
clients). Ensure json.Marshal error is handled (return/log and skip broadcasting
on failure) and treat per-connection write failures as dead connections to be
cleaned up to avoid blocking the loop.
step-10-reconnect/README.md-71-77 (1)
71-77: ⚠️ Potential issue | 🟠 Major

ping ループは接続終了時に停止する必要があります。

Line 71-77 の例は WriteMessage のエラーをチェックしておらず、接続が切断された後も goroutine が実行され続けるため、goroutine リークのリスクがあります。ticker.Stop() を defer で呼び出し、write エラー時に goroutine を終了させるべきです。
go func() {
    ticker := time.NewTicker(pingInterval)
    defer ticker.Stop()
    for {
        select {
        case <-ticker.C:
            if err := conn.WriteMessage(websocket.PingMessage, nil); err != nil {
                return
            }
        }
    }
}()
🤖 Prompt for AI Agents
Verify each finding against the current code and only fix it if needed.

In `@step-10-reconnect/README.md` around lines 71 - 77, The ping goroutine uses a
Ticker and calls conn.WriteMessage(websocket.PingMessage, nil) but doesn't check
for errors or stop the ticker, causing a goroutine leak when the connection
closes; update the anonymous goroutine that creates ticker :=
time.NewTicker(pingInterval) to defer ticker.Stop(), perform the WriteMessage
call inside a select or directly check its returned error, and return from the
goroutine when WriteMessage returns an error so the goroutine exits cleanly on
connection close.
step-01-echo/server/main.go-16-18 (1)
16-18: ⚠️ Potential issue | 🟠 Major

CheckOrigin: return true は CSRF 脆弱性を招くため避けてください。

gorilla/websocket 公式ドキュメントは、CheckOrigin で「リクエストオリジンを慎重に検証して CSRF を防ぐ」ことを明記しており、すべてのオリジンを許可する実装は本番環境で推奨されていません。教材コードでも localhost に制限するのが安全な初期値です。
提案差分
 var upgrader = websocket.Upgrader{
 	CheckOrigin: func(r *http.Request) bool {
-		return true
+		origin := r.Header.Get("Origin")
+		return origin == "http://localhost:8080" ||
+			origin == "http://127.0.0.1:8080"
 	},
 }
🤖 Prompt for AI Agents
Verify each finding against the current code and only fix it if needed.

In `@step-01-echo/server/main.go` around lines 16 - 18, The current CheckOrigin
function unconditionally returns true and allows any origin; replace it with
origin validation that only permits trusted origins (e.g., localhost or an
explicit allowlist). In the websocket Upgrader's CheckOrigin callback, read
r.Header.Get("Origin") and compare it against a set of allowed origins (or
validate the host is "localhost" / "127.0.0.1") and return true only on match;
otherwise return false. Update the Upgrader's CheckOrigin implementation (the
CheckOrigin function) to perform this check so CSRF is mitigated.
step-07-lag/server/main.go-124-140 (1)
124-140: ⚠️ Potential issue | 🟠 Major

未知の direction を弾かないと蛇が (0,0) に飛びます。

ここは逆方向だけを拒否しているので、"foo" や空文字でも s.Direction に入ります。すると moveSnake() の switch がどの case にも入らず、次 tick でゼロ値の newHead が使われます。up/down/left/right だけを受け付けてください。
最小修正例
 		if msg.Type == "input" {
+			switch msg.Direction {
+			case "up", "down", "left", "right":
+			default:
+				continue
+			}
 			opposites := map[string]string{
 				"up": "down", "down": "up", "left": "right", "right": "left",
 			}
Also applies to: 241-249
🤖 Prompt for AI Agents
Verify each finding against the current code and only fix it if needed.

In `@step-07-lag/server/main.go` around lines 124 - 140, The moveSnake function
currently assumes snake.Direction is one of "up","down","left","right" and falls
back to a zero-valued newHead for unknown values; update moveSnake to explicitly
validate Direction and return early (or ignore the tick) when it is not one of
the four allowed values, e.g., check snake.Direction against the set
{"up","down","left","right"} before the switch and bail out if invalid; also
apply the same strict validation where direction changes are handled (the
reverse-direction check code referenced around lines 241-249) so only these four
literals can be assigned to Snake.Direction.
step-03-input/server/main.go-96-117 (1)
96-117: ⚠️ Potential issue | 🟠 Major

参加/離脱が他クライアントへ反映されません。

このステップは入力時にしか broadcast() していないため、接続直後のクライアントは既存 inputs を受け取れず、既存クライアントも新規参加や切断を次の入力まで知れません。tick 配信がない構成なので、参加/離脱時にもスナップショットを送ってください。

Also applies to: 144-145
🤖 Prompt for AI Agents
Verify each finding against the current code and only fix it if needed.

In `@step-03-input/server/main.go` around lines 96 - 117, The server only calls
broadcast() on input messages, so new connections and disconnects are not
propagated; after registering a new client in the connection handler (where you
set clients[playerID] and playerInputs[playerID] and send the ack via
ServerMessage) call the same broadcast() path to send a full snapshot to all
clients so the newcomer receives current inputs and others see the join;
likewise, inside the deferred disconnect cleanup (where you delete from clients
and playerInputs) invoke broadcast() after the deletion to notify others of the
leave (ensure broadcast() reads the current playerInputs map under mu to build
the snapshot).
step-07-lag/server/main.go-95-111 (1)
95-111: ⚠️ Potential issue | 🟠 Major

ジッター模擬がサーバー tick 自体を止めています。

ここで time.Sleep すると通信遅延ではなく gameLoop() 全体が停止します。delay > tickRate では ticker の tick も取りこぼすので、全クライアントのゲーム速度まで変わってしまいます。遅らせたいのが配信だけなら、その tick のスナップショットを別 goroutine / 送信キューで遅延送信してください。
🤖 Prompt for AI Agents
Verify each finding against the current code and only fix it if needed.

In `@step-07-lag/server/main.go` around lines 95 - 111, The current gameLoop uses
time.Sleep inside the tick loop which blocks the ticker and halts updateGame;
instead, capture the tick's state snapshot immediately after updateGame (use the
same variables/struct you pass to broadcastState), then enqueue or spawn a
separate goroutine to perform the simulated send delay and call broadcastState
with that snapshot; keep the ticker loop non-blocking (remove time.Sleep from
gameLoop), reference gameLoop, updateGame, broadcastState, ticker and
maxRandomDelayMs and implement a send-queue or goroutine-per-tick that sleeps
and sends so ticks are never lost.
step-05-game-loop/server/main.go-132-160 (1)
132-160: ⚠️ Potential issue | 🟠 Major

tick ループでブロッキングな送信を直列実行しないでください。

broadcastState() は game loop の中で全接続へ順番に WriteMessage していますが、write deadline も失敗時の退避もありません。1 本の遅い接続で tick が止まり、全プレイヤーの進行が巻き込まれます。送信は専用 goroutine に切り出すか、最低でも deadline を付けて失敗接続を外してください。
🤖 Prompt for AI Agents
Verify each finding against the current code and only fix it if needed.

In `@step-05-game-loop/server/main.go` around lines 132 - 160, broadcastState
currently does blocking sequential WriteMessage calls that can stall the game
loop; for each connection (from clients or clientsCopy) set a short write
deadline (conn.SetWriteDeadline(time.Now().Add(...))) before WriteMessage, check
the error return and on failure close the connection and remove its entry from
the shared clients map under mu.Lock (use mu.Lock()/Unlock() when mutating
clients), and optionally offload sends to per-connection goroutines so slow
clients don't block the tick loop—ensure you still enforce the deadline and
clean up closed connections (references: broadcastState, clients/clientsCopy,
WriteMessage, mu, tickCount, ServerMessage).
step-10-reconnect/server/main.go-98-113 (1)
98-113: ⚠️ Potential issue | 🟠 Major

direction のホワイトリスト検証が抜けています。

逆方向以外は何でも通るので、不正値で s.Direction が壊れます。moveSnake() は default を持たないため、次 tick で nh のゼロ値 (0,0) が使われます。Step 05 と同様に up/down/left/right のみ受け付けてください。
最小修正例
 		if msg.Type == "input" {
+			switch msg.Direction {
+			case "up", "down", "left", "right":
+			default:
+				continue
+			}
 			opposites := map[string]string{
 				"up": "down", "down": "up", "left": "right", "right": "left",
 			}
Also applies to: 239-247
🤖 Prompt for AI Agents
Verify each finding against the current code and only fix it if needed.

In `@step-10-reconnect/server/main.go` around lines 98 - 113, The switch on
s.Direction in moveSnake must whitelist allowed directions and avoid falling
through to a zero-value nh; update the switch in moveSnake to explicitly handle
only "up", "down", "left", "right" and add a default branch that returns (or
otherwise aborts movement) if s.Direction is invalid so nh is never left as
(0,0); apply the same whitelist+default fix to the other identical
direction-switch block elsewhere in this file (the other snake-movement switch
around the later movement code).

🟡 Minor comments (12)

step-08-interpolation/client/index.html-119-120 (1)

119-120: ⚠️ Potential issue | 🟡 Minor

初回ACK受信時に tick が undefined 表示になります。

tickCount が数値のときだけUIを更新してください。

🔧 提案差分

-          tickEl.textContent = msg.tickCount;
+          if (typeof msg.tickCount === 'number') {
+            tickEl.textContent = String(msg.tickCount);
+          }

🤖 Prompt for AI Agents

Verify each finding against the current code and only fix it if needed.

In `@step-08-interpolation/client/index.html` around lines 119 - 120, 初回ACKで
msg.tickCount が undefined のときに UI を更新してしまうため、tickEl.textContent = msg.tickCount
の代わりに msg.tickCount が数値であることを確認してから更新するよう修正してください（例: typeof msg.tickCount ===
'number' または Number.isFinite(msg.tickCount) を使ってチェック）。対象箇所は tickEl.textContent
を代入している行（tickEl.textContent = msg.tickCount;）を探して、条件判定を追加して数値の場合のみ textContent
を設定するようにしてください。

step-08-interpolation/client/index.html-123-129 (1)

123-129: ⚠️ Potential issue | 🟡 Minor

切断時にID/Tick/補間係数の表示をリセットしてください。

状態は消えているのに表示だけ残るので、再接続時に混乱しやすいです。

🔧 提案差分

       ws.onclose = () => {
         setUI(false);
         ws = null;
+        myId = null;
         rawState = { snakes: {} };
         prevSnapshot = null;
         nextSnapshot = null;
+        myIdEl.textContent = 'なし';
+        tickEl.textContent = '0';
+        tEl.textContent = '0.00';
       };

🤖 Prompt for AI Agents

Verify each finding against the current code and only fix it if needed.

In `@step-08-interpolation/client/index.html` around lines 123 - 129, ws.onclose
ハンドラで接続切断時に表示だけ残る「ID / Tick / 補間係数」をリセットしていないため、再接続時に混乱します。ws.onclose の中（または
setUI(false) を呼ぶ直後）で画面表示をクリアする処理を追加してください：具体的には ws.onclose ハンドラ内で ID 表示、Tick
表示、補間係数(alpha) 表示に対応する DOM 要素や表示変数を空文字またはデフォルト値に設定してクリアする（あるいは setUI
を拡張してこれらのフィールドもリセットする）ように修正してください。参照箇所：ws.onclose
ハンドラ、setUI、prevSnapshot/nextSnapshot をリセットしている箇所。

step-06-snake/client/index.html-97-104 (1)

97-104: ⚠️ Potential issue | 🟡 Minor

切断後の表示リセットが不足しています。

Line 97 以降で state は空に戻していますが、myScore・playerCount・scoreboard が前回値のまま残ります。切断時にUI表示も初期化してください。
🤖 Prompt for AI Agents
Verify each finding against the current code and only fix it if needed.

In `@step-06-snake/client/index.html` around lines 97 - 104, In the ws.onclose
handler you reset state and UI partially but forget to clear myScore,
playerCount and the scoreboard display; update the ws.onclose block (the handler
for ws.onclose) to reset myScore and playerCount variables to their initial
values, clear or rebuild the scoreboard DOM (scoreboard element) and any score
display elements (e.g., myScoreEl, playerCountEl or equivalents), and call
setUI(false) / draw() after those resets so the UI shows the initial empty state
on disconnect.

step-11-optimization/README.md-15-15 (1)

15-15: ⚠️ Potential issue | 🟡 Minor

コードフェンスに言語指定を追加してください（MD040）。

Line 15 / Line 38 / Line 116 のフェンスは言語未指定です。text などを付けて markdownlint 警告を解消してください。
📝 修正例
-```
+```text
 ...
-```
+```
Also applies to: 38-38, 116-116
🤖 Prompt for AI Agents
Verify each finding against the current code and only fix it if needed.

In `@step-11-optimization/README.md` at line 15, README.md contains three fenced
code blocks that use plain ``` without a language tag; update each of those
fences (the plain "```" occurrences in the step-11-optimization README) to
include a language specifier such as "text" (i.e., change ``` to ```text) so
markdownlint MD040 warnings are resolved.

step-06-snake/server/main.go-17-19 (1)

17-19: ⚠️ Potential issue | 🟡 Minor

CheckOrigin の無条件許可は開発用途に限定してください。

Step 1 で既に「開発用に全てのオリジンを許可（本番では制限すること）」とコメント記載されていますが、本番環境へのデプロイ時には必ず許可オリジンを明示してください。現在はローカルホストのみ（http://localhost:8080）での使用のため許容範囲ですが、Web に公開する際には以下のように修正が必要です。
修正例
 var upgrader = websocket.Upgrader{
-	CheckOrigin: func(r *http.Request) bool { return true },
+	CheckOrigin: func(r *http.Request) bool {
+		origin := r.Header.Get("Origin")
+		return origin == "https://yourdomain.com"
+	},
 }
🤖 Prompt for AI Agents
Verify each finding against the current code and only fix it if needed.

In `@step-06-snake/server/main.go` around lines 17 - 19, upgrader の CheckOrigin
を無条件許可から限定許可に変更してください: websocket.Upgrader の変数名 upgrader とその CheckOrigin
ハンドラを修正して、r.Header.Get("Origin") を取得し whitelist（例: "http://localhost:8080"
または環境変数で指定したホスト群）と照合して合致する場合のみ true
を返すように実装し、本番では環境変数や設定ファイルで許可オリジンを管理するようにしてください。

step-04-server-state/README.md-15-15 (1)

15-15: ⚠️ Potential issue | 🟡 Minor

コードブロックに言語指定を追加してください（MD040）。

Line 15 / 29 / 46 / 129 のフェンスは text 等を指定してください。ドキュメント品質と CI 安定性が上がります。

Also applies to: 29-29, 46-46, 129-129
🤖 Prompt for AI Agents
Verify each finding against the current code and only fix it if needed.

In `@step-04-server-state/README.md` at line 15, README.md
の複数のフェンス付きコードブロックに言語指定が抜けているため MarkdownLint(MD040)
に引っかかっています。該当するすべてのフェンス付きコードブロックを探し、開始バックティックの直後に適切な言語タグ（例: text, json, js, bash
など）を追加して下さい（例: ```text）。これによりドキュメント品質と CI の安定性が改善されます。

step-03-input/README.md-16-16 (1)

16-16: ⚠️ Potential issue | 🟡 Minor

フェンス言語未指定を解消してください（MD040）。

Line 16 / 30 / 57 / 104 / 116 のフェンスは言語指定を付けると lint を通せます（例: json, go, text）。

Also applies to: 30-30, 57-57, 104-104, 116-116
🤖 Prompt for AI Agents
Verify each finding against the current code and only fix it if needed.

In `@step-03-input/README.md` at line 16, README.md の複数のフェンス付きコードブロックが言語指定なしで
MD040 を引いているため、該当するフェンス（現在バックティック3つで始まっている未指定のコードブロック）に適切な言語タグ（例: json, go, text
など）を追加して lint を通すようにしてください; 具体的には各未指定フェンスの開始行の ``` の後に適切な言語名を付与し（例:
```json）、内容に合わせた言語を選んで保存してください。

step-06-snake/README.md-15-15 (1)

15-15: ⚠️ Potential issue | 🟡 Minor

未指定フェンス言語の追記が必要です（MD040）。

Line 15 / Line 27 / Line 75 / Line 104 のフェンスに言語指定がありません。図やツリーは text 指定で十分です。

Also applies to: 27-27, 75-75, 104-104
🤖 Prompt for AI Agents
Verify each finding against the current code and only fix it if needed.

In `@step-06-snake/README.md` at line 15, The README's fenced code blocks that
contain diagrams/trees are missing a language tag (MD040); update each bare
fence to include a language (use "text" for diagrams/trees) so replace
occurrences of triple-backticks like ``` with ```text in the README's fenced
blocks (the diagram/tree code blocks) to satisfy the linter.

step-02-broadcast/README.md-15-15 (1)

15-15: ⚠️ Potential issue | 🟡 Minor

コードフェンスに言語指定を付けてください（MD040）。

Line 15 / Line 67 / Line 83 のフェンスが言語未指定です。text を付けるだけで markdownlint 警告を解消できます。

🛠️ 例（抜粋）

-```
+```text
 クライアントA → サーバー → クライアントA
                         → クライアントB
                         → クライアントC

- +text
step-02-broadcast/
├── README.md
├── server/
│ ├── main.go
│ └── go.mod
└── client/
└── index.html


-```
+```text
新しい接続 → clients に追加 → goroutine でメッセージ待機
                                   ↓
                               メッセージ受信
                                   ↓
                           全クライアントに送信
                                   ↓
                               切断 → clients から削除

</details>


Also applies to: 67-67, 83-83

<details>
<summary>🤖 Prompt for AI Agents</summary>