RSC/Next.jsは信頼できないかもだけど、それで良いのかもしれない

RSC/Next.jsは信頼できないかもだけど、それで良いのかもしれない
ARANK

背景先日、RSCに重大な脆弱性が見つかりました。詳細については多くの記事が書かれていますので割愛しますが、Next.jsをただデプロイしているだけでもやられる重大さです。RSCの設計自体も問題視されています。当初からセキュリティの議論が多く、今回の件とは直接関係がないものの、サーバとクライアントの境界が曖昧な点などが指摘されていました。この状況を見ていると最悪の場合、RSC/Next.jsのセキュリティを十分に高めることが現実的に不可能となる可能性も残されており、今後注視する必要があります。でも本当にNext.jsってセキュリティが重要なのだろうか？サーバはセキュアでなければならないと我々はずっと学んできましたが、これが先入観である可能性もあります。私たちが日常的にウェブサイトを作るとき、「ブラウザからのデータは絶対に信用するな！」って教わります。ブラウザ等のHTTPクライアントを、私たちは基本的には信用しません。ということは、ウェブサイトが表示されるまでの流れの中で、途中に信用できないものがあっても対応可能なのです。本記事では「サーバはセキュアでなければならない」というのは先入観だという視点に立ち、Next.jsをBFFと…

zenn.dev 9 days ago

Open page

https://zenn.dev/naofumik/articles/467a875928baef