TL;DR
- Nuxt2の
publicRuntimeConfigの取り扱いには気を付けましょう、
何が起きたか
-
publicRuntimeConfigに、システム内部通信で必要なエンドポイント、トークンを書いちゃってました、というよくあるバッドプラクティスをやらかした -
しかも、平文で、ブラウザのHTMLに載っちゃってました
- 事故になる前で発見、対応できたのは不幸中の幸い
なぜ起きたか
-
publicRuntimeConfigへの理解不足- うろ覚えですが、当時
$configから値を参照するべく定義していた模様
- うろ覚えですが、当時
どうしたか
-
公開する必要がないパラメータは、
process.envまたはprivateRuntimeConfigとするべきでした- 今回は
process.envで対応しましたがprivateRuntimeConfigについても追って検証したいです
- 今回は
参考リンク
-
privateRuntimeConfigの実例が載っています。最初からここを読んでいれば、となりました。