Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Next.jsのセキュリティ設計とアーキテクチャ

Sponsored · Your Podcast. Everywhere. Effortlessly. Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
Avatar for muratak muratak
October 28, 2024
4
3.3k

 Next.jsのセキュリティ設計とアーキテクチャ

Avatar for muratak

muratak

October 28, 2024
Tweet

More Decks by muratak

See All by muratak
Building large-scale batch of media with AWS
Avatar for muratak tresagua0123
0
23
DDoS対策 ~監視、分析、対策~
Avatar for muratak tresagua0123
3
110
Why Hono なぜHonoを使うべきなのか
Avatar for muratak tresagua0123
6
1.7k
大規模な美容メディアのフロントエンドを支えるサーバー技術
Avatar for muratak tresagua0123
0
40
バッチシステムのリプレース ~オンプレ/PHP->AWS/TypeScriptで実現する大規模バッチの新規設計、構築~
Avatar for muratak tresagua0123
0
32

Featured

See All Featured
Tips & Tricks on How to Get Your First Job In Tech
Avatar for Honza Javorek honzajavorek
0
440
The Organizational Zoo: Understanding Human Behavior Agility Through Metaphoric Constructive Conversations (based on the works of Arthur Shelley, Ph.D)
Avatar for Dr. Kim W Petersen kimpetersen
PRO
0
240
Jamie Indigo - Trashchat’s Guide to Black Boxes: Technical SEO Tactics for LLMs
Avatar for Tech SEO Connect techseoconnect
PRO
0
65
Why Our Code Smells
Avatar for Brandon Keepers bkeepers
PRO
340
58k
Leading Effective Engineering Teams in the AI Era
Avatar for Addy Osmani addyosmani
9
1.6k
A designer walks into a library…
Avatar for Paul Jervis Heath pauljervisheath
210
24k
Winning Ecommerce Organic Search in an AI Era - #searchnstuff2025
Avatar for Aleyda Solis aleyda
1
1.9k
Paper Plane
Avatar for Katie Cordina Lindsey katiecoart
PRO
0
46k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
Avatar for Tammy Everts tammyeverts
55
3.3k
Reflections from 52 weeks, 52 projects
Avatar for Jefferson Lam jeffersonlam
356
21k
CSS Pre-Processors: Stylus, Less & Sass
Avatar for Bermon Painter bermonpainter
359
30k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
Avatar for Eileen M. Uchitelle eileencodes
38
2.7k

Transcript

  1. スポンサー LT: Next.jsのセキュリティ設計とアーキテクチャ 10/28 ROSCAFE TECH NIGHT#11 muratak@SWE

  2. 簡単な自己紹介 muratakについて ・Next.js, ServerSide TypeScript, AWS etc ・@cosmeエンジニア 主にNext.jsやHonoなど技術系発信 →

    普段はこれらの活動をしている。

  3. Next.jsのセキュリティ設計とアーキテクチャ 今日のテーマ ・Next.js開発でのセキュリティ設計上気をつける点を知り、 Web開発一般におけるセキュリティ設計においても気をつける点を振り返る 注意) 本スライドはエンジニアとして、 また、本イベント会場スポンサーとしての著者の個人見解であり、 発表者の所属会社の技術責任者及び代表として意見するものではありません。

  4. What is Next.js? ~最も人気な Reactフレームワーク ~

  5. How Next.js works? ~Nextってどうやって動くの? ~ ・Browser | Node.js, Bun, Deno

    などブラウザとサーバ両面で動く ・Client Componentsはブラウザで実行され、 Server Componentsはサーバーで実行される Next.jsのセキュリティ設計を考える上での肝はそれらの 境界面にある 原則として、機密情報がブラウザー側に露出する設計はセキュリティ上ダメ

  6. But in what cases? ~セキュリティ設計上、気をつける点って? ~ 今から一緒に具体例を通してみていきましょう! (一緒に設計するつもりで )

  7. Bad Env ~環境変数をどこに置くか ~ ・NEXT_PUBLIC_XXXX で始まる環境変数はブラウザーからアクセスできるので機密情報を入れない。 → サーバー側の環境変数など、セキュアな場所に機密情報は保管せよ

  8. Bad Props ~propsの渡し方~

  9. Bad Props ~propsの渡し方~

  10. Bad Props ~propsの渡し方~

  11. Bad Props ~どうやって防ぐ? ~ ・そもそも機密情報を propsとして渡さない(それはそう)・DTOパターン(それはそう) ・Taint APIs (React19の新機能)を使って渡そうとすると強制エラーにする

  12. Some ways to protect your apps ・next-auth ・session & pass

  13. Some ways to protect your apps ・next-cors ・express-rate-limit ・express-slow-down ・helmet

    … what else guys?

  14. It is your turn! Next.jsのセキュリティについて学びを深め、 いつか一緒に働ける日を楽しみにしています!