Next.jsで簡単なCRUDアプリを作りながら気になったセキュリティ: Railsの視点から
ARANK

先日、Kamal 2でNext.jsを安価なVPSにデプロイする勉強をしながら、Next.js App Router/Server ActionでCRUDのデモアプリを作成しました(コードはGitHub)。そのときにセキュリティについて気になって点がいくつかあり、勉強しながら対策をしましたので紹介したいと思います。私自身は業務でNext.jsを書いた経験が限定的です。的外れな議論をしているかもしれません。あくまでもRuby on Railsアプリを書くときと同じ気持ちでNext.jsのアプリを書いたとき、セキュリティ上で気になった点を挙げているだけです。私が見落としている点や誤っている点等ありましたら、コメントやX等で教えていただけると大変ありがたいです。その1:データ漏洩の危険性この問題についてはムーザルちゃんねるが紹介しています。またNext.jsの公式ブログでも対策が紹介されています。例えば下記のようなServer ComponentのPageがあり、かつEditUserFormがClient Componentだった場合を想定します。そうするとUserテーブルの情報(userオブジェクト)が全てネットワーク越しにブラウザに送られるのが問題です。もしUserテーブルに暗号化されたパスワードや最後にアクセスしたIPアドレスの情報が含ま…

zenn.dev
Related Topics: React Ruby on Rails Security