Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Next.jsのセキュリティ設計とアーキテクチャ

Avatar for muratak muratak
October 28, 2024
3.4k
4

 Next.jsのセキュリティ設計とアーキテクチャ

Avatar for muratak

muratak

October 28, 2024

More Decks by muratak

See All by muratak
Building large-scale batch of media with AWS
Avatar for muratak tresagua0123
0
34
DDoS対策 ~監視、分析、対策~
Avatar for muratak tresagua0123
3
120
Why Hono なぜHonoを使うべきなのか
Avatar for muratak tresagua0123
6
1.9k
大規模な美容メディアのフロントエンドを支えるサーバー技術
Avatar for muratak tresagua0123
0
46
バッチシステムのリプレース ~オンプレ/PHP->AWS/TypeScriptで実現する大規模バッチの新規設計、構築~
Avatar for muratak tresagua0123
0
40

Featured

See All Featured
Taking LLMs out of the black box: A practical guide to human-in-the-loop distillation
Avatar for Ines Montani inesmontani
PRO
3
2.2k
The Impact of AI in SEO - AI Overviews June 2024 Edition
Avatar for Aleyda Solis aleyda
5
1.1k
技術選定の審美眼(2025年版) / Understanding the Spiral of Technologies 2025 edition
Avatar for Takuto Wada twada
PRO
118
110k
No one is an island. Learnings from fostering a developers community.
Avatar for Antonio thoeni
21
3.7k
Practical Orchestrator
Avatar for Shlomi Noach shlominoach
191
11k
The SEO Collaboration Effect
Avatar for Kristina Bergwall kristinabergwall1
1
440
WENDY [Excerpt]
Avatar for Tessa Abrams tessaabrams
10
37k
Designing for Performance
Avatar for Lara Hogan lara
611
70k
Fantastic passwords and where to find them - at NoRuKo
Avatar for Phil Nash philnash
52
3.7k
Build The Right Thing And Hit Your Dates
Avatar for Maggie C. maggiecrowley
39
3.1k
How To Speak Unicorn (iThemes Webinar)
Avatar for Michelle Schulp Hunt marktimemedia
1
450
JAMstack: Web Apps at Ludicrous Speed - All Things Open 2022
Avatar for David Neal reverentgeek
1
430

Transcript

  1. スポンサー LT: Next.jsのセキュリティ設計とアーキテクチャ 10/28 ROSCAFE TECH NIGHT#11 muratak@SWE

  2. 簡単な自己紹介 muratakについて ・Next.js, ServerSide TypeScript, AWS etc ・@cosmeエンジニア 主にNext.jsやHonoなど技術系発信 →

    普段はこれらの活動をしている。

  3. Next.jsのセキュリティ設計とアーキテクチャ 今日のテーマ ・Next.js開発でのセキュリティ設計上気をつける点を知り、 Web開発一般におけるセキュリティ設計においても気をつける点を振り返る 注意) 本スライドはエンジニアとして、 また、本イベント会場スポンサーとしての著者の個人見解であり、 発表者の所属会社の技術責任者及び代表として意見するものではありません。

  4. What is Next.js? ~最も人気な Reactフレームワーク ~

  5. How Next.js works? ~Nextってどうやって動くの? ~ ・Browser | Node.js, Bun, Deno

    などブラウザとサーバ両面で動く ・Client Componentsはブラウザで実行され、 Server Componentsはサーバーで実行される Next.jsのセキュリティ設計を考える上での肝はそれらの 境界面にある 原則として、機密情報がブラウザー側に露出する設計はセキュリティ上ダメ

  6. But in what cases? ~セキュリティ設計上、気をつける点って? ~ 今から一緒に具体例を通してみていきましょう! (一緒に設計するつもりで )

  7. Bad Env ~環境変数をどこに置くか ~ ・NEXT_PUBLIC_XXXX で始まる環境変数はブラウザーからアクセスできるので機密情報を入れない。 → サーバー側の環境変数など、セキュアな場所に機密情報は保管せよ

  8. Bad Props ~propsの渡し方~

  9. Bad Props ~propsの渡し方~

  10. Bad Props ~propsの渡し方~

  11. Bad Props ~どうやって防ぐ? ~ ・そもそも機密情報を propsとして渡さない(それはそう)・DTOパターン(それはそう) ・Taint APIs (React19の新機能)を使って渡そうとすると強制エラーにする

  12. Some ways to protect your apps ・next-auth ・session & pass

  13. Some ways to protect your apps ・next-cors ・express-rate-limit ・express-slow-down ・helmet

    … what else guys?

  14. It is your turn! Next.jsのセキュリティについて学びを深め、 いつか一緒に働ける日を楽しみにしています!