Yumax-panda
commented
3 months ago 一部のページでログインの確認をlayout.tsxで行なっているが、それではログイン必要なページの秘匿が完全ではない
要修正
layout.tsxでログイン確認をしている場合、それを代わりに対応するpage.tsxで行う- (必要に応じて
layout.tsxを削除する)
Closed Yumax-panda closed 2 months ago
Yumax-panda
commented
3 months ago 一部のページでログインの確認をlayout.tsxで行なっているが、それではログイン必要なページの秘匿が完全ではない
layout.tsxでログイン確認をしている場合、それを代わりに対応するpage.tsxで行うlayout.tsxを削除する)
bfs84
commented
3 months ago Who: 外部ユーザー What: 任意のユーザーのセッション情報を不正に取得できないようにする Why: 現在の実装ではlayout.tsxでセッション確認しており、curlコマンドで攻撃者にセッション情報を盗まれるおそれがあるため Where: full-stack
page.tsxでセッション確認を実施し結果のみlayout.tsxに渡すことで、クライアント側に秘匿情報が漏れない構造になっていること
bfs84
commented
3 months ago @Yumax-panda さん
お疲れ様です!
リモートリポジトリのブランチを切って作業をしようとしたところ、アクセス権がないようで
fatal: unable to access 'https://github.com/Yumax-panda/full-stack.git/': The requested URL returned error: 403 と出たのでアクセス権の付与をお願いしてもよろしいでしょうか?
layout.tsxをミドルウェアとしてつかうことはできないref: https://zenn.dev/meijin/articles/nextjs14-layout-as-middleware