在我看來,帶有前綴的環境變數NEXT_PUBLIC_將被結果包中它們各自的值替換。
使用NEXT_PUBLIC_*變數提供 API 密鑰、OAuth 機密等內容是否安全,或者最終用戶理論上可以訪問這些機密值嗎?如果是這種情況,那么規避此潛在安全問題的推薦方法是什么?
謝謝大家的澄清。
uj5u.com熱心網友回復:
NEXT_PUBLIC_環境變數前綴應僅用于不敏感的值,并且正如您所指出的,您對出現在最終包中感到滿意。為任何敏感密鑰或秘密環境變數添加前綴NEXT_PUBLIC_是一種安全風險。這些值應該只能在構建時或服務器端被 next.js 訪問。
考慮使用 Next.js API 路由將任何面向服務的業務邏輯隔離到事物的服務器端。
轉載請註明出處,本文鏈接:https://www.uj5u.com/qiye/488869.html
