Next.js、Vue 与静态站前端 .env 防泄露加固
针对 /front-end/.env、/vue/.env、/next/.env、前端 config 与构建产物探测,梳理 server-only 变量、公开变量边界、Bundle 复盘、Nginx 拒绝规则和密钥轮换触发条件。
独立防御清单:不隶属于 GitHub/GitLab/Next.js/Vue/Kubernetes 等厂商,不提供扫描自动化、漏洞利用或凭据获取步骤。
日志意图
/front-end/.env、/vue/.env、/next/.env、client config、构建产物中的公开变量
这些路径经常来自自动化探测。正确处理方式是确认没有敏感文件公开、返回安全响应,并把清理流程模板化。
适合谁
- 1GB VPS / OpenResty / Nginx 静态站运营者
- AI API 网关、自动交付店铺、开发者工具站
- 需要把安全检查变成 SOP 的个人开发者
防御清单
- 把真正的 API Key、支付密钥、Webhook Secret 放在服务端环境变量或密钥管理器,不写进浏览器 JavaScript。
- 区分 NEXT_PUBLIC_/VITE_ 等公开变量与 server-only 变量;公开变量默认视为任何访客可见。
- 发布前抽查构建产物中是否含有 key、secret、token、password、private、mnemonic 等敏感词。
- OpenResty/Nginx 对 /.env、/front-end/.env、/next/.env、/vue/.env 和旧构建目录返回安全 404/403。
可直接复用的 Nginx/OpenResty 思路
# defensive-only example: deny common secret and backup files
location ~* (^|/)\.(env|git|svn|hg) { return 404; }
location ~* \.(bak|backup|old|save|swp|tmp|ini|conf)$ { return 404; }
# keep real secrets outside webroot; verify with harmless HEAD/GET onlyFAQ
前端变量加了前缀就安全吗?
不是。带公开前缀的变量会进入浏览器包,只能放非敏感配置;密钥必须留在服务端。
静态站能直接调用付费 API 吗?
不建议。应通过服务端或 Worker 代理,并加预算、鉴权和日志脱敏。
是否包含攻击示例?
不包含。只描述防御、配置边界和安全验证。