Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Next.jsのセキュリティ設計とアーキテクチャ

Avatar for muratak muratak
October 28, 2024
4
3.1k

 Next.jsのセキュリティ設計とアーキテクチャ

Avatar for muratak

muratak

October 28, 2024
Tweet

More Decks by muratak

See All by muratak
DDoS対策 ~監視、分析、対策~
Avatar for muratak tresagua0123
3
81
Why Hono なぜHonoを使うべきなのか
Avatar for muratak tresagua0123
6
1.3k
大規模な美容メディアのフロントエンドを支えるサーバー技術
Avatar for muratak tresagua0123
0
26
バッチシステムのリプレース ~オンプレ/PHP->AWS/TypeScriptで実現する大規模バッチの新規設計、構築~
Avatar for muratak tresagua0123
0
18

Featured

See All Featured
Fashionably flexible responsive web design (full day workshop)
Avatar for Andy Clarke malarkey
407
66k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
Avatar for Rebecca Miller-Webster rmw
34
3.1k
How To Stay Up To Date on Web Technology
Avatar for Chris Coyier chriscoyier
790
250k
How to train your dragon (web standard)
Avatar for Monica Dinculescu notwaldorf
96
6.1k
Sharpening the Axe: The Primacy of Toolmaking
Avatar for Bryan Cantrill bcantrill
44
2.4k
Typedesign – Prime Four
Avatar for Hannes Fritz hannesfritz
42
2.7k
Improving Core Web Vitals using Speculation Rules API
Avatar for Sergey Chernyshev sergeychernyshev
18
990
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
Avatar for panda_program panda_program
108
19k
Building a Scalable Design System with Sketch
Avatar for Laura Van Doore lauravandoore
462
33k
CSS Pre-Processors: Stylus, Less & Sass
Avatar for Bermon Painter bermonpainter
357
30k
No one is an island. Learnings from fostering a developers community.
Avatar for Antonio thoeni
21
3.4k
Fantastic passwords and where to find them - at NoRuKo
Avatar for Phil Nash philnash
51
3.3k

Transcript

  1. スポンサー LT: Next.jsのセキュリティ設計とアーキテクチャ 10/28 ROSCAFE TECH NIGHT#11 muratak@SWE

  2. 簡単な自己紹介 muratakについて ・Next.js, ServerSide TypeScript, AWS etc ・@cosmeエンジニア 主にNext.jsやHonoなど技術系発信 →

    普段はこれらの活動をしている。

  3. Next.jsのセキュリティ設計とアーキテクチャ 今日のテーマ ・Next.js開発でのセキュリティ設計上気をつける点を知り、 Web開発一般におけるセキュリティ設計においても気をつける点を振り返る 注意) 本スライドはエンジニアとして、 また、本イベント会場スポンサーとしての著者の個人見解であり、 発表者の所属会社の技術責任者及び代表として意見するものではありません。

  4. What is Next.js? ~最も人気な Reactフレームワーク ~

  5. How Next.js works? ~Nextってどうやって動くの? ~ ・Browser | Node.js, Bun, Deno

    などブラウザとサーバ両面で動く ・Client Componentsはブラウザで実行され、 Server Componentsはサーバーで実行される Next.jsのセキュリティ設計を考える上での肝はそれらの 境界面にある 原則として、機密情報がブラウザー側に露出する設計はセキュリティ上ダメ

  6. But in what cases? ~セキュリティ設計上、気をつける点って? ~ 今から一緒に具体例を通してみていきましょう! (一緒に設計するつもりで )

  7. Bad Env ~環境変数をどこに置くか ~ ・NEXT_PUBLIC_XXXX で始まる環境変数はブラウザーからアクセスできるので機密情報を入れない。 → サーバー側の環境変数など、セキュアな場所に機密情報は保管せよ

  8. Bad Props ~propsの渡し方~

  9. Bad Props ~propsの渡し方~

  10. Bad Props ~propsの渡し方~

  11. Bad Props ~どうやって防ぐ? ~ ・そもそも機密情報を propsとして渡さない(それはそう)・DTOパターン(それはそう) ・Taint APIs (React19の新機能)を使って渡そうとすると強制エラーにする

  12. Some ways to protect your apps ・next-auth ・session & pass

  13. Some ways to protect your apps ・next-cors ・express-rate-limit ・express-slow-down ・helmet

    … what else guys?

  14. It is your turn! Next.jsのセキュリティについて学びを深め、 いつか一緒に働ける日を楽しみにしています!