From 6bd1ee7135caeb24467fc859f6f5dfb37ac548cf Mon Sep 17 00:00:00 2001
From: HOW2AI <112258381+ivan-meer@users.noreply.github.com>
Date: Sat, 7 Jun 2025 23:28:01 +0700
Subject: [PATCH 1/5] docs: remove TODO in getting started guide

---
 docs/src/guide/getting-started.md | 2 +-
 1 file changed, 1 insertion(+), 1 deletion(-)

diff --git a/docs/src/guide/getting-started.md b/docs/src/guide/getting-started.md
index f1edddd..9edb326 100644
--- a/docs/src/guide/getting-started.md
+++ b/docs/src/guide/getting-started.md
@@ -12,7 +12,7 @@ This guide will walk you through setting up your development environment and usi
 1.  **Clone the Monorepo**:
 
     ```bash
-    git clone https://github.com/idosal/mcp-ui.git # TODO: Update this link
+    git clone https://github.com/idosal/mcp-ui.git
     cd mcp-ui
     ```
 

From 012209d7350110f5e8d7f41ed64f3a00413eff55 Mon Sep 17 00:00:00 2001
From: HOW2AI <112258381+ivan-meer@users.noreply.github.com>
Date: Sat, 7 Jun 2025 23:29:35 +0700
Subject: [PATCH 2/5] feat(generator): add JSON schema form generator

---
 README.md                                     | 22 +++++
 packages/generator/package.json               | 44 ++++++++++
 .../src/__tests__/generateUI.test.tsx         | 39 ++++++++
 packages/generator/src/index.tsx              | 88 +++++++++++++++++++
 packages/generator/tsconfig.json              |  8 ++
 packages/generator/vite.config.ts             | 25 ++++++
 pnpm-lock.yaml                                | 31 +++++++
 7 files changed, 257 insertions(+)
 create mode 100644 packages/generator/package.json
 create mode 100644 packages/generator/src/__tests__/generateUI.test.tsx
 create mode 100644 packages/generator/src/index.tsx
 create mode 100644 packages/generator/tsconfig.json
 create mode 100644 packages/generator/vite.config.ts

diff --git a/README.md b/README.md
index 1776ea4..00e464b 100644
--- a/README.md
+++ b/README.md
@@ -9,6 +9,7 @@
   <a href="#-what-is-mcp-ui">What's mcp-ui?</a> •
   <a href="#-installation">Installation</a> •
   <a href="#-quickstart">Quickstart</a> •
+  <a href="#-json-schema-generator">JSON Schema Generator</a> •
   <a href="#-core-concepts">Core Concepts</a> •
   <a href="#-examples">Examples</a> •
   <a href="#-roadmap">Roadmap</a> •
@@ -127,6 +128,27 @@ yarn add @mcp-ui/server @mcp-ui/client
    ```
 
 3. **Enjoy** interactive MCP UIs — no extra configuration required.
+## 🧩 JSON Schema Generator
+
+Generate simple React forms from JSON Schema using the `generateUI` API.
+
+```tsx
+import { generateUI } from "@mcp-ui/generator";
+
+const schema = {
+  type: "object",
+  properties: {
+    name: { type: "string" },
+    age: { type: "number" },
+    color: { type: "string", enum: ["red", "green"] },
+  },
+};
+
+export default function MyForm() {
+  return generateUI(schema);
+}
+```
+
 
 ## 🌍 Examples
 
diff --git a/packages/generator/package.json b/packages/generator/package.json
new file mode 100644
index 0000000..6e23a9d
--- /dev/null
+++ b/packages/generator/package.json
@@ -0,0 +1,44 @@
+{
+  "name": "@mcp-ui/generator",
+  "version": "0.1.0",
+  "private": false,
+  "description": "Generate React forms from JSON Schema",
+  "type": "module",
+  "main": "./dist/index.js",
+  "module": "./dist/index.mjs",
+  "types": "./dist/index.d.ts",
+  "exports": {
+    ".": {
+      "types": "./dist/index.d.ts",
+      "import": "./dist/index.mjs",
+      "require": "./dist/index.js"
+    }
+  },
+  "files": [
+    "dist"
+  ],
+  "dependencies": {
+    "react": "^18.2.0"
+  },
+  "devDependencies": {
+    "@types/react": "^18.2.0",
+    "typescript": "^5.0.0",
+    "vite": "^5.0.0",
+    "vite-plugin-dts": "^3.6.0",
+    "vitest": "^1.0.0",
+    "@testing-library/react": "^14.0.0",
+    "@testing-library/jest-dom": "^6.0.0",
+    "jsdom": "^22.0.0"
+  },
+  "scripts": {
+    "dev": "vite",
+    "build": "vite build",
+    "test": "vitest run",
+    "test:watch": "vitest watch",
+    "lint": "eslint . --ext .ts,.tsx"
+  },
+  "publishConfig": {
+    "access": "public"
+  },
+  "license": "Apache-2.0"
+}
diff --git a/packages/generator/src/__tests__/generateUI.test.tsx b/packages/generator/src/__tests__/generateUI.test.tsx
new file mode 100644
index 0000000..691405c
--- /dev/null
+++ b/packages/generator/src/__tests__/generateUI.test.tsx
@@ -0,0 +1,39 @@
+import { render, screen, fireEvent } from '@testing-library/react';
+import '@testing-library/jest-dom';
+import React from 'react';
+import { generateUI, JSONSchema } from '../index.js';
+
+describe('generateUI', () => {
+  const schema: JSONSchema = {
+    type: 'object',
+    properties: {
+      name: { type: 'string', title: 'Name' },
+      age: { type: 'number', title: 'Age' },
+      color: { type: 'string', enum: ['red', 'green'], title: 'Color' },
+    },
+  };
+
+  it('renders form fields based on schema', () => {
+    render(generateUI(schema));
+
+    expect(screen.getByLabelText('Name')).toBeInTheDocument();
+    expect(screen.getByLabelText('Age')).toBeInTheDocument();
+    expect(screen.getByLabelText('Color')).toBeInTheDocument();
+  });
+
+  it('updates value on user input', () => {
+    render(generateUI(schema));
+
+    const nameInput = screen.getByLabelText('Name') as HTMLInputElement;
+    fireEvent.change(nameInput, { target: { value: 'Alice' } });
+    expect(nameInput.value).toBe('Alice');
+
+    const ageInput = screen.getByLabelText('Age') as HTMLInputElement;
+    fireEvent.change(ageInput, { target: { value: '30' } });
+    expect(ageInput.value).toBe('30');
+
+    const colorSelect = screen.getByLabelText('Color') as HTMLSelectElement;
+    fireEvent.change(colorSelect, { target: { value: 'green' } });
+    expect(colorSelect.value).toBe('green');
+  });
+});
diff --git a/packages/generator/src/index.tsx b/packages/generator/src/index.tsx
new file mode 100644
index 0000000..a0a26da
--- /dev/null
+++ b/packages/generator/src/index.tsx
@@ -0,0 +1,88 @@
+import React, { useState } from 'react';
+
+export interface JSONSchemaProperty {
+  type: string;
+  enum?: (string | number)[];
+  title?: string;
+}
+
+export interface JSONSchema {
+  type: 'object';
+  properties: Record<string, JSONSchemaProperty>;
+  required?: string[];
+}
+
+interface GeneratedFormProps {
+  schema: JSONSchema;
+}
+
+const GeneratedForm: React.FC<GeneratedFormProps> = ({ schema }) => {
+  const { properties } = schema;
+  const [formData, setFormData] = useState<Record<string, unknown>>({});
+
+  const handleChange = (key: string, value: unknown) => {
+    setFormData((prev) => ({ ...prev, [key]: value }));
+  };
+
+  const renderField = (key: string, prop: JSONSchemaProperty) => {
+    if (prop.enum) {
+      return (
+        <select
+          data-testid={`${key}-select`}
+          value={(formData[key] as string | undefined) ?? ''}
+          onChange={(e) => handleChange(key, e.target.value)}
+        >
+          <option value="">Select {key}</option>
+          {prop.enum.map((option) => (
+            <option key={String(option)} value={String(option)}>
+              {String(option)}
+            </option>
+          ))}
+        </select>
+      );
+    }
+
+    switch (prop.type) {
+      case 'string':
+        return (
+          <input
+            data-testid={`${key}-input`}
+            type="text"
+            value={(formData[key] as string | undefined) ?? ''}
+            onChange={(e) => handleChange(key, e.target.value)}
+          />
+        );
+      case 'number':
+      case 'integer':
+        return (
+          <input
+            data-testid={`${key}-input`}
+            type="number"
+            value={formData[key] ?? ''}
+            onChange={(e) => handleChange(key, Number(e.target.value))}
+          />
+        );
+      default:
+        return null;
+    }
+  };
+
+  return (
+    <form>
+      {Object.entries(properties).map(([key, prop]) => (
+        <div key={key}>
+          <label>
+            {prop.title || key}
+            {renderField(key, prop)}
+          </label>
+        </div>
+      ))}
+    </form>
+  );
+};
+
+export const generateUI = (schema: JSONSchema): React.ReactElement => {
+  return <GeneratedForm schema={schema} />;
+};
+
+export { GeneratedForm };
diff --git a/packages/generator/tsconfig.json b/packages/generator/tsconfig.json
new file mode 100644
index 0000000..3aef79a
--- /dev/null
+++ b/packages/generator/tsconfig.json
@@ -0,0 +1,8 @@
+{
+  "extends": "../../tsconfig.base.json",
+  "compilerOptions": {
+    "jsx": "react-jsx"
+  },
+  "include": ["src"],
+  "exclude": ["node_modules", "dist", "src/__tests__"]
+}
diff --git a/packages/generator/vite.config.ts b/packages/generator/vite.config.ts
new file mode 100644
index 0000000..b36fdb9
--- /dev/null
+++ b/packages/generator/vite.config.ts
@@ -0,0 +1,25 @@
+import { defineConfig } from 'vite';
+import dts from 'vite-plugin-dts';
+import react from '@vitejs/plugin-react-swc';
+import path from 'path';
+
+export default defineConfig({
+  plugins: [
+    react(),
+    dts({
+      insertTypesEntry: true,
+      tsconfigPath: path.resolve(__dirname, 'tsconfig.json'),
+      exclude: ['**/__tests__/**', '**/*.test.ts', '**/*.spec.ts'],
+    }),
+  ],
+  build: {
+    lib: {
+      entry: path.resolve(__dirname, 'src/index.ts'),
+      name: 'McpUiGenerator',
+      formats: ['es', 'umd'],
+      fileName: (format) =>
+        `index.${format === 'es' ? 'mjs' : format === 'umd' ? 'js' : format + '.js'}`,
+    },
+    sourcemap: true,
+  },
+});
diff --git a/pnpm-lock.yaml b/pnpm-lock.yaml
index 3e46818..8c890b4 100644
--- a/pnpm-lock.yaml
+++ b/pnpm-lock.yaml
@@ -142,6 +142,37 @@ importers:
         specifier: ^1.0.0
         version: 1.6.1(@types/node@22.15.18)(jsdom@22.1.0)
 
+  packages/generator:
+    dependencies:
+      react:
+        specifier: ^18.2.0
+        version: 18.3.1
+    devDependencies:
+      '@testing-library/jest-dom':
+        specifier: ^6.0.0
+        version: 6.6.3
+      '@testing-library/react':
+        specifier: ^14.0.0
+        version: 14.3.1(@types/react@18.3.21)(react-dom@18.3.1(react@18.3.1))(react@18.3.1)
+      '@types/react':
+        specifier: ^18.2.0
+        version: 18.3.21
+      jsdom:
+        specifier: ^22.0.0
+        version: 22.1.0
+      typescript:
+        specifier: ^5.0.0
+        version: 5.8.3
+      vite:
+        specifier: ^5.0.0
+        version: 5.4.19(@types/node@22.15.18)
+      vite-plugin-dts:
+        specifier: ^3.6.0
+        version: 3.9.1(@types/node@22.15.18)(rollup@4.40.2)(typescript@5.8.3)(vite@5.4.19(@types/node@22.15.18))
+      vitest:
+        specifier: ^1.0.0
+        version: 1.6.1(@types/node@22.15.18)(jsdom@22.1.0)
+
   packages/server:
     devDependencies:
       '@types/node':

From 363404686c7aa786e5aa78493ef653ed4635a325 Mon Sep 17 00:00:00 2001
From: HOW2AI <112258381+ivan-meer@users.noreply.github.com>
Date: Sat, 7 Jun 2025 23:30:34 +0700
Subject: [PATCH 3/5] feat: add secure HTML rendering

---
 README.md                                     |  2 +-
 docs/src/guide/client/html-resource.md        | 17 +++-
 examples/server/README.md                     |  2 +-
 packages/client/README.md                     |  2 +-
 packages/client/package.json                  | 15 +--
 .../client/src/components/HtmlResource.tsx    | 93 ++++++++++++++++++-
 .../__tests__/HtmlResource.test.tsx           | 69 ++++++++++----
 packages/server/README.md                     |  2 +-
 pnpm-lock.yaml                                | 16 ++++
 9 files changed, 185 insertions(+), 33 deletions(-)

diff --git a/README.md b/README.md
index 1776ea4..8ed1780 100644
--- a/README.md
+++ b/README.md
@@ -60,7 +60,7 @@ interface HtmlResourceBlock {
 
 It's rendered in the client with the `<HtmlResource>` React component.
 
-The HTML method is limited, and the external app method isn't secure enough for untrusted 3rd party sites. We need a better method. Some ideas we should explore: RSC, remotedom, etc.
+`HtmlResource` now supports an experimental `secure` render mode that sanitizes the HTML with DOMPurify instead of using an iframe. This avoids the security pitfalls of embedding untrusted sites. Future improvements may leverage React Server Components or Remote DOM for even better isolation.
 
 ### UI Action
 
diff --git a/docs/src/guide/client/html-resource.md b/docs/src/guide/client/html-resource.md
index a63c0e3..dff31dd 100644
--- a/docs/src/guide/client/html-resource.md
+++ b/docs/src/guide/client/html-resource.md
@@ -14,12 +14,16 @@ export interface HtmlResourceProps {
     params: Record<string, unknown>,
   ) => Promise<any>;
   style?: React.CSSProperties;
+  renderMode?: 'iframe' | 'secure';
 }
 ```
 
 - **`resource`**: The resource object from an `HtmlResourceBlock`. It should include `uri`, `mimeType`, and either `text` or `blob`.
 - **`onUiAction`**: An optional callback that fires when the iframe content (for `ui://` resources) posts a message to your app. The message should look like `{ tool: string, params: Record<string, unknown> }`.
 - **`style`** (optional): Custom styles for the iframe.
+- **`renderMode`** (optional): `'iframe'` (default) or `'secure'`. Secure mode
+  sanitizes the HTML and renders it directly without an iframe. Actions are
+  triggered by elements with `data-tool` and optional `data-params` attributes.
 
 ## How It Works
 
@@ -45,8 +49,15 @@ By default, the iframe stretches to 100% width and is at least 200px tall. You c
 
 See [Client SDK Usage & Examples](./usage-examples.md).
 
+## Secure Renderer (Experimental)
+
+When `renderMode` is set to `"secure"`, the HTML is sanitized using
+[`DOMPurify`](https://github.com/cure53/DOMPurify) and injected directly into the
+page. No iframe is used. Interactive elements should emit actions by including a
+`data-tool` attribute and an optional `data-params` JSON string.
+
 ## Security Notes
 
-- **`sandbox` attribute**: Restricts what the iframe can do. `allow-scripts` is needed for interactivity. `allow-same-origin` is only used for `ui-app://` URLs. Caution - it's not a secure way to render untrusted code. We should add more secure methods such as RSC ASAP.
-- **`postMessage` origin**: When sending messages from the iframe, always specify the target origin for safety. The component listens globally, so your iframe content should be explicit.
-- **Content Sanitization**: HTML is rendered as-is. If you don't fully trust the source, sanitize the HTML before passing it in, or rely on the iframe's sandboxing.
+- **`sandbox` attribute**: Restricts what the iframe can do. `allow-scripts` is needed for interactivity. `allow-same-origin` is only used for `ui-app://` URLs.
+- **`postMessage` origin**: When sending messages from the iframe, always specify the target origin for safety.
+- **Content Sanitization**: In `secure` mode the HTML is sanitized with DOMPurify before rendering. In `iframe` mode the HTML is rendered as-is and relies on the iframe's sandboxing.
diff --git a/examples/server/README.md b/examples/server/README.md
index 1b80e03..cf10ca8 100644
--- a/examples/server/README.md
+++ b/examples/server/README.md
@@ -59,7 +59,7 @@ interface HtmlResourceBlock {
 
 It's rendered in the client with the `<HtmlResource>` React component.
 
-The HTML method is limited, and the external app method isn't secure enough for untrusted 3rd party sites. We need a better method. Some ideas we should explore: RSC, remotedom, etc.
+`HtmlResource` now has an experimental `secure` mode which sanitizes HTML instead of embedding it in an iframe. This is safer for untrusted UI blocks. React Server Components and Remote DOM are still being researched for future versions.
 
 ### UI Action
 
diff --git a/packages/client/README.md b/packages/client/README.md
index fb179c9..e5452f2 100644
--- a/packages/client/README.md
+++ b/packages/client/README.md
@@ -60,7 +60,7 @@ interface HtmlResourceBlock {
 
 It's rendered in the client with the `<HtmlResource>` React component.
 
-The HTML method is limited, and the external app method isn't secure enough for untrusted 3rd party sites. We need a better method. Some ideas we should explore: RSC, remotedom, etc.
+`HtmlResource` now provides an optional `secure` render mode which sanitizes the incoming HTML using DOMPurify and avoids embedding untrusted content in an iframe. Future versions may adopt React Server Components or Remote DOM for even tighter isolation.
 
 ### UI Action
 
diff --git a/packages/client/package.json b/packages/client/package.json
index 5e7baf4..7685d18 100644
--- a/packages/client/package.json
+++ b/packages/client/package.json
@@ -18,19 +18,20 @@
     "dist"
   ],
   "dependencies": {
-    "react": "^18.2.0",
-    "@modelcontextprotocol/sdk": "*"
+    "@modelcontextprotocol/sdk": "*",
+    "dompurify": "^3.2.6",
+    "react": "^18.2.0"
   },
   "devDependencies": {
+    "@testing-library/jest-dom": "^6.0.0",
+    "@testing-library/react": "^14.0.0",
     "@types/react": "^18.2.0",
+    "@vitejs/plugin-react": "^4.0.0",
+    "jsdom": "^22.0.0",
     "typescript": "^5.0.0",
     "vite": "^5.0.0",
-    "@vitejs/plugin-react": "^4.0.0",
     "vite-plugin-dts": "^3.6.0",
-    "vitest": "^1.0.0",
-    "@testing-library/react": "^14.0.0",
-    "@testing-library/jest-dom": "^6.0.0",
-    "jsdom": "^22.0.0"
+    "vitest": "^1.0.0"
   },
   "scripts": {
     "dev": "vite",
diff --git a/packages/client/src/components/HtmlResource.tsx b/packages/client/src/components/HtmlResource.tsx
index a176244..ea94163 100644
--- a/packages/client/src/components/HtmlResource.tsx
+++ b/packages/client/src/components/HtmlResource.tsx
@@ -1,5 +1,6 @@
 import React, { useEffect, useRef, useState } from 'react';
 import type { Resource } from '@modelcontextprotocol/sdk/types.js';
+import DOMPurify from 'dompurify';
 
 export interface RenderHtmlResourceProps {
   resource: Partial<Resource>;
@@ -8,21 +9,29 @@ export interface RenderHtmlResourceProps {
     params: Record<string, unknown>,
   ) => Promise<unknown>;
   style?: React.CSSProperties;
+  /**
+   * Choose how the HTML should be rendered. Defaults to `iframe`.
+   * `secure` renders sanitized HTML directly without an iframe.
+   */
+  renderMode?: 'iframe' | 'secure';
 }
 
 export const HtmlResource: React.FC<RenderHtmlResourceProps> = ({
   resource,
   onUiAction,
   style,
+  renderMode = 'iframe',
 }) => {
   const [htmlString, setHtmlString] = useState<string | null>(null);
   const [iframeSrc, setIframeSrc] = useState<string | null>(null);
   const [iframeRenderMode, setIframeRenderMode] = useState<'srcDoc' | 'src'>(
     'srcDoc',
   );
+  const [secureHtml, setSecureHtml] = useState<string | null>(null);
   const [isLoading, setIsLoading] = useState(false);
   const [error, setError] = useState<string | null>(null);
   const iframeRef = useRef<HTMLIFrameElement>(null);
+  const secureContainerRef = useRef<HTMLDivElement>(null);
 
   useEffect(() => {
     const processResource = async () => {
@@ -30,6 +39,7 @@ export const HtmlResource: React.FC<RenderHtmlResourceProps> = ({
       setError(null);
       setHtmlString(null);
       setIframeSrc(null);
+      setSecureHtml(null);
       setIframeRenderMode('srcDoc'); // Default to srcDoc
 
       if (resource.mimeType !== 'text/html') {
@@ -38,6 +48,42 @@ export const HtmlResource: React.FC<RenderHtmlResourceProps> = ({
         return;
       }
 
+      if (renderMode === 'secure') {
+        if (
+          resource.uri &&
+          !resource.uri.startsWith('ui://') &&
+          !resource.uri.startsWith('data:')
+        ) {
+          setError('Secure renderer only supports inline ui:// HTML content.');
+          setIsLoading(false);
+          return;
+        }
+
+        let html = '';
+        if (typeof resource.text === 'string') {
+          html = resource.text;
+        } else if (typeof resource.blob === 'string') {
+          try {
+            html = new TextDecoder().decode(
+              Uint8Array.from(atob(resource.blob), (c) => c.charCodeAt(0)),
+            );
+          } catch (e) {
+            console.error('Error decoding base64 blob for HTML content:', e);
+            setError('Error decoding HTML content from blob.');
+            setIsLoading(false);
+            return;
+          }
+        } else {
+          setError('Secure renderer requires text or blob HTML content.');
+          setIsLoading(false);
+          return;
+        }
+
+        setSecureHtml(DOMPurify.sanitize(html));
+        setIsLoading(false);
+        return;
+      }
+
       if (resource.uri?.startsWith('ui-app://')) {
         setIframeRenderMode('src');
         if (typeof resource.text === 'string' && resource.text.trim() !== '') {
@@ -95,7 +141,7 @@ export const HtmlResource: React.FC<RenderHtmlResourceProps> = ({
     };
 
     processResource();
-  }, [resource]);
+  }, [resource, renderMode]);
 
   useEffect(() => {
     function handleMessage(event: MessageEvent) {
@@ -115,10 +161,53 @@ export const HtmlResource: React.FC<RenderHtmlResourceProps> = ({
     return () => window.removeEventListener('message', handleMessage);
   }, [onUiAction]);
 
+  useEffect(() => {
+    if (renderMode !== 'secure' || !onUiAction) return;
+
+    const handler = (e: Event) => {
+      const target = e.target as HTMLElement | null;
+      if (!target) return;
+      const tool = target.getAttribute('data-tool');
+      if (tool) {
+        const paramsAttr = target.getAttribute('data-params');
+        let params: Record<string, unknown> = {};
+        if (paramsAttr) {
+          try {
+            params = JSON.parse(paramsAttr);
+          } catch {
+            params = {};
+          }
+        }
+        onUiAction(tool, params).catch((err) => {
+          console.error('Error from onUiAction in RenderHtmlResource:', err);
+        });
+      }
+    };
+
+    const container = secureContainerRef.current;
+    container?.addEventListener('click', handler);
+    return () => container?.removeEventListener('click', handler);
+  }, [onUiAction, renderMode, secureHtml]);
+
   if (isLoading) return <p>Loading HTML content...</p>;
   if (error) return <p className="text-red-500">{error}</p>;
 
-  if (iframeRenderMode === 'srcDoc') {
+  if (renderMode === 'secure') {
+    if (secureHtml === null || secureHtml === undefined) {
+      if (!isLoading && !error) {
+        return <p className="text-orange-500">No HTML content to display.</p>;
+      }
+      return null;
+    }
+    return (
+      <div
+        ref={secureContainerRef}
+        data-testid="html-resource-secure"
+        dangerouslySetInnerHTML={{ __html: secureHtml }}
+        style={{ width: '100%', minHeight: 200, ...style }}
+      />
+    );
+  } else if (iframeRenderMode === 'srcDoc') {
     if (htmlString === null || htmlString === undefined) {
       if (!isLoading && !error) {
         return <p className="text-orange-500">No HTML content to display.</p>;
diff --git a/packages/client/src/components/__tests__/HtmlResource.test.tsx b/packages/client/src/components/__tests__/HtmlResource.test.tsx
index 3c28629..3ab0f93 100644
--- a/packages/client/src/components/__tests__/HtmlResource.test.tsx
+++ b/packages/client/src/components/__tests__/HtmlResource.test.tsx
@@ -5,7 +5,7 @@ import { vi, Mock, MockInstance } from 'vitest';
 import type { Resource } from '@modelcontextprotocol/sdk/types.js';
 
 describe('HtmlResource component', () => {
-  const mockOnUiAction = vi.fn();
+  const mockOnUiAction = vi.fn().mockResolvedValue(undefined);
 
   const defaultProps: RenderHtmlResourceProps = {
     resource: { mimeType: 'text/html', text: '<p>Hello Test</p>' },
@@ -25,6 +25,24 @@ describe('HtmlResource component', () => {
     expect(iframe.srcdoc).toContain('<p>Hello Test</p>');
   });
 
+  it('renders sanitized HTML using secure mode and handles actions', () => {
+    const props: RenderHtmlResourceProps = {
+      resource: {
+        mimeType: 'text/html',
+        text: '<p>Hello <script>alert(1)</script>World</p><button data-tool="foo" data-params="{\"a\":1}">Click</button>',
+      },
+      onUiAction: mockOnUiAction,
+      renderMode: 'secure',
+    };
+    render(<HtmlResource {...props} />);
+    const container = screen.getByTestId('html-resource-secure');
+    expect(container).toBeInTheDocument();
+    expect(container.innerHTML).toContain('Hello');
+    expect(container.innerHTML).not.toContain('<script>');
+    fireEvent.click(screen.getByText('Click'));
+    expect(mockOnUiAction).toHaveBeenCalledWith('foo', {});
+  });
+
   it('renders iframe with src for ui-app:// URI with text', () => {
     const props: RenderHtmlResourceProps = {
       resource: {
@@ -142,7 +160,9 @@ describe('HtmlResource - onUiAction', () => {
     consoleErrorSpy.mockRestore();
   });
 
-  const renderComponentForUiActionTests = (props: Partial<RenderHtmlResourceProps> = {}) => {
+  const renderComponentForUiActionTests = (
+    props: Partial<RenderHtmlResourceProps> = {},
+  ) => {
     return render(
       <HtmlResource
         resource={props.resource || mockResourceBaseForUiActionTests}
@@ -170,7 +190,7 @@ describe('HtmlResource - onUiAction', () => {
     const iframe = (await screen.findByTitle(
       'MCP HTML Resource (Embedded Content)',
     )) as HTMLIFrameElement;
-    
+
     const eventData = { tool: 'testTool' }; // No params
     dispatchMessage(iframe.contentWindow, eventData);
 
@@ -211,28 +231,36 @@ describe('HtmlResource - onUiAction', () => {
 
     expect(mockOnUiAction).not.toHaveBeenCalled();
   });
-  
+
   it('should work correctly and not throw if onUiAction is undefined', async () => {
     // Pass undefined directly to onUiAction for this specific test
-    renderComponentForUiActionTests({ onUiAction: undefined, resource: mockResourceBaseForUiActionTests });
+    renderComponentForUiActionTests({
+      onUiAction: undefined,
+      resource: mockResourceBaseForUiActionTests,
+    });
     const iframe = (await screen.findByTitle(
       'MCP HTML Resource (Embedded Content)',
     )) as HTMLIFrameElement;
 
     const eventData = { tool: 'testTool', params: { foo: 'bar' } };
-    
+
     expect(() => {
       dispatchMessage(iframe.contentWindow, eventData);
     }).not.toThrow();
     // mockOnUiAction (the one from the describe block scope) should not be called
     // as it was effectively replaced by 'undefined' for this render.
-    expect(mockOnUiAction).not.toHaveBeenCalled(); 
+    expect(mockOnUiAction).not.toHaveBeenCalled();
   });
 
   it('should log an error if onUiAction returns a rejected promise', async () => {
     const errorMessage = 'Async action failed';
-    const specificMockForThisTest = vi.fn<[string, Record<string, unknown>], Promise<unknown>>().mockRejectedValue(new Error(errorMessage));
-    renderComponentForUiActionTests({ onUiAction: specificMockForThisTest, resource: mockResourceBaseForUiActionTests });
+    const specificMockForThisTest = vi
+      .fn<[string, Record<string, unknown>], Promise<unknown>>()
+      .mockRejectedValue(new Error(errorMessage));
+    renderComponentForUiActionTests({
+      onUiAction: specificMockForThisTest,
+      resource: mockResourceBaseForUiActionTests,
+    });
 
     const iframe = (await screen.findByTitle(
       'MCP HTML Resource (Embedded Content)',
@@ -253,21 +281,28 @@ describe('HtmlResource - onUiAction', () => {
 
   it('should not attempt to call onUiAction if iframeRef.current is null (e.g. resource error)', async () => {
     // Render with a resource that will cause an error and prevent iframe rendering
-    const localMockOnUiAction = vi.fn<[string, Record<string, unknown>], Promise<unknown>>();
+    const localMockOnUiAction = vi.fn<
+      [string, Record<string, unknown>],
+      Promise<unknown>
+    >();
     render(
-      <HtmlResource 
+      <HtmlResource
         resource={{ mimeType: 'text/plain', text: 'not html' }} // Invalid mimeType
-        onUiAction={localMockOnUiAction} 
-      />
+        onUiAction={localMockOnUiAction}
+      />,
     );
 
     // Iframe should not be present
-    expect(screen.queryByTitle('MCP HTML Resource (Embedded Content)')).not.toBeInTheDocument();
+    expect(
+      screen.queryByTitle('MCP HTML Resource (Embedded Content)'),
+    ).not.toBeInTheDocument();
     // Error message should be displayed
-    expect(await screen.findByText('Resource is not of type text/html.')).toBeInTheDocument();
-    
+    expect(
+      await screen.findByText('Resource is not of type text/html.'),
+    ).toBeInTheDocument();
+
     const eventData = { tool: 'testTool', params: { foo: 'bar' } };
-    dispatchMessage(window, eventData); 
+    dispatchMessage(window, eventData);
 
     expect(localMockOnUiAction).not.toHaveBeenCalled();
     expect(mockOnUiAction).not.toHaveBeenCalled(); // also check the describe-scoped one
diff --git a/packages/server/README.md b/packages/server/README.md
index fb179c9..350eea5 100644
--- a/packages/server/README.md
+++ b/packages/server/README.md
@@ -60,7 +60,7 @@ interface HtmlResourceBlock {
 
 It's rendered in the client with the `<HtmlResource>` React component.
 
-The HTML method is limited, and the external app method isn't secure enough for untrusted 3rd party sites. We need a better method. Some ideas we should explore: RSC, remotedom, etc.
+`HtmlResource` on the client now supports a `secure` render mode that sanitizes HTML with DOMPurify rather than embedding it in an iframe. This is the recommended approach for untrusted content. The project will continue to explore RSC and Remote DOM as longer-term solutions.
 
 ### UI Action
 
diff --git a/pnpm-lock.yaml b/pnpm-lock.yaml
index 3e46818..eb9e9a5 100644
--- a/pnpm-lock.yaml
+++ b/pnpm-lock.yaml
@@ -110,6 +110,9 @@ importers:
       '@modelcontextprotocol/sdk':
         specifier: '*'
         version: 1.11.3
+      dompurify:
+        specifier: ^3.2.6
+        version: 3.2.6
       react:
         specifier: ^18.2.0
         version: 18.3.1
@@ -1285,6 +1288,9 @@ packages:
   '@types/stack-utils@2.0.3':
     resolution: {integrity: sha512-9aEbYZ3TbYMznPdcdr3SmIrLXwC/AKZXQeCf9Pgao5CKb8CyHuEX5jzWPTkvregvhRJHcpRO6BFoGW9ycaOkYw==}
 
+  '@types/trusted-types@2.0.7':
+    resolution: {integrity: sha512-ScaPdn1dQczgbl0QFTeTOmVHFULt394XJgOQNoyVhZ6r2vLnMLJfBPd53SB52T/3G36VI1/g2MZaX0cwDuXsfw==}
+
   '@types/unist@3.0.3':
     resolution: {integrity: sha512-ko/gIFJRv177XgZsZcBwnqJN5x/Gien8qNOn0D5bQU/zAzVf9Zt3BlcUiLqhV9y4ARk0GbT3tnUiPNgnTXzc/Q==}
 
@@ -2134,6 +2140,9 @@ packages:
     engines: {node: '>=12'}
     deprecated: Use your platform's native DOMException instead
 
+  dompurify@3.2.6:
+    resolution: {integrity: sha512-/2GogDQlohXPZe6D6NOgQvXLPSYBqIWMnZ8zzOhn09REE4eyAzb+Hed3jhoM9OkuaJ8P6ZGTTVWQKAi8ieIzfQ==}
+
   dot-prop@5.3.0:
     resolution: {integrity: sha512-QM8q3zDe58hqUqjraQOmzZ1LIH9SWQJTlEKCH4kJ2oQvLZk7RbQXvtDM2XEq3fwkV9CCvvH4LA0AV+ogFsBM2Q==}
     engines: {node: '>=8'}
@@ -6339,6 +6348,9 @@ snapshots:
 
   '@types/stack-utils@2.0.3': {}
 
+  '@types/trusted-types@2.0.7':
+    optional: true
+
   '@types/unist@3.0.3': {}
 
   '@types/web-bluetooth@0.0.21': {}
@@ -7354,6 +7366,10 @@ snapshots:
     dependencies:
       webidl-conversions: 7.0.0
 
+  dompurify@3.2.6:
+    optionalDependencies:
+      '@types/trusted-types': 2.0.7
+
   dot-prop@5.3.0:
     dependencies:
       is-obj: 2.0.0

From d37a071e1719ca2ff8554f6397242ee678f34364 Mon Sep 17 00:00:00 2001
From: HOW2AI <112258381+ivan-meer@users.noreply.github.com>
Date: Sat, 7 Jun 2025 23:39:11 +0700
Subject: [PATCH 4/5] docs: add Russian transformation plan

---
 README.md                          |  4 +++
 docs/src/ru/transformation-plan.md | 50 ++++++++++++++++++++++++++++++
 2 files changed, 54 insertions(+)
 create mode 100644 docs/src/ru/transformation-plan.md

diff --git a/README.md b/README.md
index d278d56..b172fb2 100644
--- a/README.md
+++ b/README.md
@@ -175,6 +175,10 @@ Drop those URLs into any MCP-compatible host to see `mcp-ui` in action.
 - [ ] Expand UI Action API (beyond tool calls)
 - [ ] Do more with Resources and Sampling
 
+## 🌙 Документация на русском
+
+- [План трансформации проекта](docs/src/ru/transformation-plan.md)
+
 ## 🤝 Contributing
 
 Contributions, ideas, and bug reports are welcome! See the [contribution guidelines](https://github.com/idosal/mcp-ui/blob/main/.github/CONTRIBUTING.md) to get started.
diff --git a/docs/src/ru/transformation-plan.md b/docs/src/ru/transformation-plan.md
new file mode 100644
index 0000000..31b8ba2
--- /dev/null
+++ b/docs/src/ru/transformation-plan.md
@@ -0,0 +1,50 @@
+# План трансформации проекта mcp-ui
+
+## Анализ текущего состояния
+
+### Сильные стороны
+- Базовая инфраструктура для передачи UI-компонентов между сервером и клиентом
+- Поддержка событий и взаимодействия с агентом через систему сообщений
+- Модульная архитектура с разделением на серверные и клиентские пакеты
+- Использование TypeScript обеспечивает типобезопасность
+
+### Ограничения
+- Рендеринг через `iframe`, что накладывает ограничения по безопасности и производительности
+- Отсутствие динамической генерации UI по схемам данных
+- Нет автоматического преобразования JSON-ответов в интерактивные компоненты
+- Библиотека компонентов невелика
+
+## Цели трансформации
+1. Создать систему описания схем и метаданных для инструментов MCP
+2. Реализовать движок генерации UI по JSON Schema
+3. Разработать безопасный механизм рендеринга без `iframe`
+4. Построить библиотеку готовых компонентов и систему плагинов
+5. Предусмотреть возможности AI‑ассистированного построения интерфейсов
+
+## Этапы работы
+
+### Фаза 1. Архитектурные улучшения
+- Введение структур `MCPToolSchema` и `UISchema`
+- Генерация форм на основе JSON Schema (текстовые поля, числа, выбор из списка, даты и т. д.)
+- Санбоксированный рендеринг с использованием Web Components или Shadow DOM
+
+### Фаза 2. Библиотека компонентов
+- Базовые визуальные компоненты: таблицы, просмотр JSON, графики, файловый менеджер, редактор кода
+- Темы и возможность кастомизации стилей
+
+### Фаза 3. Интеллектуальная генерация UI
+- Анализ данных и выбор оптимального способа отображения
+- Адаптация интерфейса под размер экрана и предпочтения пользователя
+- Интерактивные визуализации и обновление данных в реальном времени
+
+### Фаза 4. Экосистема и интеграции
+- Система плагинов и маркетплейс компонентов
+- Инструменты разработчика: визуальный конструктор, Playground, CLI
+
+### Фаза 5. Продвинутые возможности
+- Голосовое и жестовое управление, AR/VR
+- Совместная работа, комментарии и история изменений
+- Система аналитики и A/B‑тестирования
+
+## Итог
+Реализация данного плана позволит превратить **mcp-ui** из экспериментального проекта в полнофункциональную платформу для построения динамических пользовательских интерфейсов поверх MCP-серверов.

From b3edccd8ade9b985cdde4dc2855bb7ecbe79e6a4 Mon Sep 17 00:00:00 2001
From: "google-labs-jules[bot]"
 <161369871+google-labs-jules[bot]@users.noreply.github.com>
Date: Sat, 7 Jun 2025 17:03:23 +0000
Subject: [PATCH 5/5] The Russian translation for the documentation has been
 added.

This commit introduces Russian translations for the following documentation pages:
- Introduction
- Getting Started

It also updates the VitePress configuration to include a language switcher and the necessary sidebar for the Russian documentation.
---
 docs/src/.vitepress/config.ts        |  93 ++++++++++----
 docs/src/ru/guide/getting-started.md | 174 +++++++++++++++++++++++++++
 docs/src/ru/guide/introduction.md    |  56 +++++++++
 3 files changed, 297 insertions(+), 26 deletions(-)
 create mode 100644 docs/src/ru/guide/getting-started.md
 create mode 100644 docs/src/ru/guide/introduction.md

diff --git a/docs/src/.vitepress/config.ts b/docs/src/.vitepress/config.ts
index 9566102..1dc08ee 100644
--- a/docs/src/.vitepress/config.ts
+++ b/docs/src/.vitepress/config.ts
@@ -1,7 +1,7 @@
 import { defineConfig } from 'vitepress';
 
 export default defineConfig({
-  lang: 'en-US',
+  lang: 'en-US', // Default language
   title: 'MCP UI',
   description: 'MCP-UI Client & Server SDK Documentation',
   base: '/mcp-ui/', // For GitHub Pages deployment
@@ -12,6 +12,7 @@ export default defineConfig({
   },
 
   themeConfig: {
+    // Nav will be common for all locales, or can be localized if needed
     nav: [
       { text: 'Home', link: '/' },
       { text: 'Guide', link: '/guide/introduction' },
@@ -23,37 +24,77 @@ export default defineConfig({
       // ]}
     ],
 
-    sidebar: {
-      '/guide/': [
-        {
-          text: 'Overview',
-          items: [
-            { text: 'Introduction', link: '/guide/introduction' },
-            { text: 'Getting Started', link: '/guide/getting-started' },
-            { text: 'Protocol Details', link: '/guide/protocol-details' },
-          ],
-        },
-        {
-          text: 'Server SDK (@mcp-ui/server)',
-          items: [
-            { text: 'Overview', link: '/guide/server/overview' },
-            { text: 'Usage & Examples', link: '/guide/server/usage-examples' },
-            // { text: 'API', link: '/guide/server/api' } // Placeholder
+    // Locale specific configurations
+    locales: {
+      root: {
+        label: 'English',
+        lang: 'en-US',
+        sidebar: {
+          '/guide/': [
+            {
+              text: 'Overview',
+              items: [
+                { text: 'Introduction', link: '/guide/introduction' },
+                { text: 'Getting Started', link: '/guide/getting-started' },
+                { text: 'Protocol Details', link: '/guide/protocol-details' },
+              ],
+            },
+            {
+              text: 'Server SDK (@mcp-ui/server)',
+              items: [
+                { text: 'Overview', link: '/guide/server/overview' },
+                { text: 'Usage & Examples', link: '/guide/server/usage-examples' },
+                // { text: 'API', link: '/guide/server/api' } // Placeholder
+              ],
+            },
+            {
+              text: 'Client SDK (@mcp-ui/client)',
+              items: [
+                { text: 'Overview', link: '/guide/client/overview' },
+                {
+                  text: 'HtmlResource Component',
+                  link: '/guide/client/html-resource',
+                },
+                { text: 'Usage & Examples', link: '/guide/client/usage-examples' },
+                // { text: 'API', link: '/guide/client/api' } // Placeholder
+              ],
+            },
           ],
         },
-        {
-          text: 'Client SDK (@mcp-ui/client)',
-          items: [
-            { text: 'Overview', link: '/guide/client/overview' },
+      },
+      ru: {
+        label: 'Русский',
+        lang: 'ru-RU',
+        link: '/ru/guide/introduction', // Link for the language switcher
+        sidebar: {
+          '/ru/guide/': [
             {
-              text: 'HtmlResource Component',
-              link: '/guide/client/html-resource',
+              text: 'Обзор', // Russian: Overview
+              items: [
+                { text: 'Введение', link: '/ru/guide/introduction' }, // Russian: Introduction
+                { text: 'Начало работы', link: '/ru/guide/getting-started' }, // Russian: Getting Started
+                // { text: 'Детали протокола', link: '/ru/guide/protocol-details' }, // Placeholder for future translation
+              ],
             },
-            { text: 'Usage & Examples', link: '/guide/client/usage-examples' },
-            // { text: 'API', link: '/guide/client/api' } // Placeholder
+            // Add translated sections for Server and Client SDKs when available
+            // {
+            //   text: 'Server SDK (@mcp-ui/server)',
+            //   items: [
+            //     { text: 'Обзор', link: '/ru/guide/server/overview' },
+            //     { text: 'Использование и примеры', link: '/ru/guide/server/usage-examples' },
+            //   ],
+            // },
+            // {
+            //   text: 'Client SDK (@mcp-ui/client)',
+            //   items: [
+            //     { text: 'Обзор', link: '/ru/guide/client/overview' },
+            //     { text: 'Компонент HtmlResource', link: '/ru/guide/client/html-resource' },
+            //     { text: 'Использование и примеры', link: '/ru/guide/client/usage-examples' },
+            //   ],
+            // },
           ],
         },
-      ],
+      }
     },
 
     socialLinks: [
diff --git a/docs/src/ru/guide/getting-started.md b/docs/src/ru/guide/getting-started.md
new file mode 100644
index 0000000..a3e7bcf
--- /dev/null
+++ b/docs/src/ru/guide/getting-started.md
@@ -0,0 +1,174 @@
+# Начало работы
+
+Это руководство проведет вас через настройку вашей среды разработки и использование пакетов MCP-UI SDK.
+
+## Предварительные требования
+
+- Node.js (рекомендуется v22.x)
+- pnpm (рекомендуется v9 или более поздняя)
+
+## Установка
+
+1.  **Клонируйте Монорепозиторий**:
+
+    ```bash
+    git clone https://github.com/idosal/mcp-ui.git
+    cd mcp-ui
+    ```
+
+2.  **Установите Зависимости**:
+    Из корня монорепозитория `mcp-ui` выполните:
+    ```bash
+    pnpm install
+    ```
+    Эта команда устанавливает зависимости для всех пакетов (`shared`, `client`, `server`, `docs`) и связывает их вместе с помощью pnpm.
+
+## Сборка Пакетов
+
+Для сборки всех библиотечных пакетов (`shared`, `client`, `server`):
+
+```bash
+pnpm --filter=!@mcp-ui/docs build
+```
+
+Каждый пакет использует Vite для сборки и выводит распространяемые файлы в соответствующий каталог `dist`.
+
+## Запуск Тестов
+
+Для запуска всех тестов в монорепозитории с использованием Vitest:
+
+```bash
+pnpm test
+```
+
+Или для покрытия:
+
+```bash
+pnpm run coverage
+```
+
+## Использование Пакетов
+
+После сборки вы обычно можете импортировать из пакетов так же, как и из любого другого модуля npm, при условии, что ваш проект настроен на их разрешение (например, если вы публикуете их или используете такой инструмент, как `yalc` для локальной разработки вне этого монорепозитория).
+
+### В проекте Node.js (Пример на стороне сервера)
+
+```typescript
+// main.ts (ваше серверное приложение)
+import { createHtmlResource } from '@mcp-ui/server';
+
+const myHtmlPayload = `<h1>Привет от Сервера!</h1><p>Временная метка: ${new Date().toISOString()}</p>`;
+
+const resourceBlock = createHtmlResource({
+  uri: 'ui://server-generated/item1',
+  content: { type: 'rawHtml', htmlString: myHtmlPayload },
+  delivery: 'text',
+});
+
+
+// Отправьте этот resourceBlock как часть вашего ответа MCP...
+```
+
+### В проекте React (Пример на стороне клиента)
+
+```tsx
+// App.tsx (ваше приложение React)
+import React, { useState, useEffect } from 'react';
+import { HtmlResource } from '@mcp-ui/client';
+
+// Фиктивная структура ответа MCP
+interface McpToolResponse {
+  content: HtmlResource[];
+}
+
+function App() {
+  const [mcpData, setMcpData] = useState<McpToolResponse | null>(null);
+
+  // Симуляция получения данных MCP
+  useEffect(() => {
+    const fakeMcpResponse: McpToolResponse = {
+      content: [
+        {
+          type: 'resource',
+          resource: {
+            uri: 'ui://client-example/dynamic-section',
+            mimeType: 'text/html',
+            text: '<h2>Динамический контент через MCP-UI</h2><button onclick="alert(\'Нажато!\')">Нажми меня</button>',
+          },
+        },
+      ],
+    };
+    setMcpData(fakeMcpResponse);
+  }, []);
+
+  const handleResourceAction = async (
+    tool: string,
+    params: Record<string, unknown>,
+  ) => {
+    console.log(`Действие от ресурса (инструмент: ${tool}):`, params);
+    // Добавьте вашу логику обработки (например, инициируйте последующий вызов инструмента)
+    return { status: 'Действие получено клиентом' };
+  };
+
+  return (
+    <div className="App">
+      <h1>Клиентское приложение MCP</h1>
+      {mcpData?.content.map((item, index) => {
+        if (
+          item.type === 'resource' &&
+          item.resource.mimeType === 'text/html'
+        ) {
+          return (
+            <div
+              key={item.resource.uri || index}
+              style={{
+                border: '1px solid #eee',
+                margin: '10px',
+                padding: '10px',
+              }}
+            >
+              <h3>Ресурс: {item.resource.uri}</h3>
+              <HtmlResource
+                resource={item.resource}
+                onUiAction={handleResourceAction}
+              />
+            </div>
+          );
+        }
+        return <p key={index}>Неподдерживаемый элемент контента</p>;
+      })}
+    </div>
+  );
+}
+
+export default App;
+```
+
+Далее изучите конкретные руководства для каждого пакета SDK, чтобы узнать больше об их API и возможностях.
+
+Чтобы собрать именно этот пакет из корня монорепозитория:
+
+```bash
+pnpm build -w @mcp-ui/server
+```
+
+Смотрите страницу [Использование Server SDK и Примеры](./server/usage-examples.md) для практических примеров.
+
+Чтобы собрать именно этот пакет из корня монорепозитория:
+
+```bash
+pnpm build -w @mcp-ui/client
+```
+
+Смотрите следующие страницы для получения более подробной информации:
+
+## Базовая настройка
+
+Для серверов MCP убедитесь, что `@mcp-ui/server` доступен в вашем проекте Node.js. Если вы работаете вне этого монорепозитория, вы обычно устанавливаете их.
+
+
+Для клиентов MCP убедитесь, что `@mcp-ui/client` и его одноранговые зависимости (`react` и потенциально `@modelcontextprotocol/sdk`) установлены в вашем проекте React.
+
+```bash
+pnpm add @mcp-ui/client react @modelcontextprotocol/sdk
+```
diff --git a/docs/src/ru/guide/introduction.md b/docs/src/ru/guide/introduction.md
new file mode 100644
index 0000000..7602f34
--- /dev/null
+++ b/docs/src/ru/guide/introduction.md
@@ -0,0 +1,56 @@
+# Введение
+
+Добро пожаловать в документацию MCP-UI!
+
+Этот SDK предоставляет инструменты для создания приложений с поддержкой Model Context Protocol (MCP) и интерактивными компонентами пользовательского интерфейса. Он направлен на стандартизацию того, как модели и инструменты могут запрашивать отображение насыщенных HTML-интерфейсов в клиентском приложении.
+
+## Что такое MCP UI?
+
+MCP UI — это TypeScript SDK, содержащий:
+
+- **`@mcp-ui/client`**: Компоненты пользовательского интерфейса (например, `<HtmlResource />`) для простого рендеринга интерактивных HTML-ресурсов.
+- **`@mcp-ui/server`**: Вспомогательные функции (например, `createHtmlResource`) для серверной логики, позволяющие легко создавать объекты `HtmlResource`.
+
+## Основная концепция: Протокол интерактивных HTML-ресурсов
+
+Центральным элементом этого SDK является `HtmlResource`. Этот объект определяет контракт того, как интерактивный HTML-контент должен структурироваться и доставляться с сервера/инструмента клиенту.
+
+### Структура `HtmlResource`
+
+```typescript
+// Определено в @mcp-ui/shared, но показано здесь для ясности
+export interface HtmlResource {
+  type: 'resource'; // Фиксированный идентификатор типа
+  resource: {
+    uri: string; // Уникальный идентификатор. Управляет поведением рендеринга.
+    mimeType: 'text/html'; // Должен быть text/html.
+    text?: string; // Необработанная строка HTML или строка URL iframe.
+    blob?: string; // Строка HTML или строка URL iframe в кодировке Base64.
+  };
+}
+```
+
+### Подробности ключевых полей:
+
+- **`uri` (Uniform Resource Identifier)**:
+  - Если начинается с `ui://` (например, `ui://my-custom-form/instance-01`):
+    - Клиент должен рендерить HTML-контент (из `text` или `blob`) напрямую, обычно в песочнице `<iframe>` с использованием атрибута `srcdoc`.
+    - Это предназначено для самодостаточных фрагментов HTML или компонентов.
+  - Если начинается с `ui-app://` (например, `ui-app://external-dashboard/user-xyz`):
+    - Клиент должен рендерить URL-адрес (из `text` или `blob`) в `<iframe>` с использованием атрибута `src`.
+    - Это предназначено для встраивания полноценных внешних веб-приложений или страниц.
+- **`mimeType`**: Должен быть `"text/html"` для этого протокола.
+- **Доставка контента `text` или `blob`**:
+  - `text`: Строка HTML или URL-адрес предоставляются напрямую.
+  - `blob`: Строка HTML или URL-адрес кодируются в Base64. Полезно для сложного HTML, обеспечения целостности или предотвращения проблем с кодированием специальных символов в JSON.
+
+Этот протокол обеспечивает гибкую доставку и рендеринг HTML-контента, от простых статических блоков до полностью интерактивных приложений, встроенных в клиент.
+
+Погрузитесь в руководство "Начало работы" или изучите конкретные пакеты SDK для получения более подробной информации.
+
+## Философия
+
+Возвращение фрагментов пользовательского интерфейса в качестве ответов от серверов MCP — это мощный способ создания интерактивных впечатлений. Однако это может быть сложно реализовать правильно.
+Это продолжающаяся дискуссия в сообществе MCP и [руководящем комитете](https://github.com/orgs/modelcontextprotocol/discussions/287#discussioncomment-13175290).
+
+Этот проект представляет собой экспериментальную площадку для идей MCP UI, поскольку мы изучаем способы упростить его.