NextJS 超瓜皮漏洞，赶紧升级！

升级是一方面，另一方面也是个提醒，健壮的 app 应该避免只在一个 layer 做认证和安全保护
https://strobes.co/blog/understanding-next-js-vulnerability/#Key_Security_Lessons_From_Nextjs_Vulnerability

牛批啊 ...

nextjs 的 middleware 设计真的文明用语，第一次见只能有一个 middleware 的框架

https://zhero-web-sec.github.io/research-and-things/nextjs-and-the-corrupt-middleware

看了下漏洞分析...确实瓜皮

@ragnaroks 而且是只为 edge runtime 设计的 middleware ，就离谱，github 上有几个 pr 和 discussions 吵这事

吓死人

看来我最初的预感是正确的
最开始用 nextjs 我就觉得这 middleware 不靠谱
最后还是把 auth 步骤都放到 layout 里
麻烦是麻烦了点，每个 path 都要写一遍同样的 auth 逻辑，
但把 cookie 都自己处理了就不必担心这种漏洞了

twitter 都炸开了。。。也是醉了。。。

没记错的话 middleware 中的 req/res 和别的接口 req/res 对象还有差异，我是懒得看文档了解什么差异了（毕竟 server 端的 req/res 和客户端的 req/res 也有差异我也懒得看。。。），然后鉴权写到单独的文件里面在各个接口都引了一遍。。。完美规避问题[doge]

@ragnaroks 我倒是觉得这个设计很不错，模块化中间件，强制使用单个中间件文件，简化配置、防止潜在冲突、优化性能

[官方文档]
Note: While only one middleware.ts file is supported per project, you can still organize your middleware logic modularly. Break out middleware functionalities into separate .ts or .js files and import them into your main middleware.ts file. This allows for cleaner management of route-specific middleware, aggregated in the middleware.ts for centralized control. By enforcing a single middleware file, it simplifies configuration, prevents potential conflicts, and optimizes performance by avoiding multiple middleware layers.

不如发推特链接看看

这世界就是一个草台班子....

@0x676e67 同，想吃瓜

可以追溯到 3 年前的版本了。估计已经产生很多停在这些版本又不维护的项目。乐

从来不用 middleware 鉴权，主要是不用的页面，有的需要鉴权，有的不需要鉴权，如果按不同页面写鉴权策略写到一个 middleware 逻辑太离散了，所以直接写到 page 里面了，都是每个页面都得粘贴一下有点麻烦。

@0x676e67 @Zenyet https://x.com/eastdakota/status/1903574608789274748

目前用 nextjs 写网站都只用 output: export 生成静态页面，应该遇不到这种问题

23 号开始吵架，今天才开始道歉，哈哈哈哈

@ragnaroks 确实傻逼，用到我吐血

只写页面，解决问题=.=