Nextjs Security Hardening

Next.js App Router アプリケーションのセキュリティを包括的に強化するスキル。 ## 1. セキュリティヘッダー（next.config.ts） ```typescript const securityHeaders = [ { key: "Strict-Transport-Security", value: "max-age=63072000; includeSubDomains; preload" }, { key: "X-Frame-Options", value: "SAMEORIGIN" }, { key: "X-Content-Type-Options", value: "nosniff" }, { key: "Referrer-Policy", value: "strict-origin-when-cross-origin" }, { key: "Permissions-Policy", value: "camera=(), microphone=(), geolocation=()" }, { key: "Content-Security-Policy", value: "default-src 'self'; script-src 'self' 'unsafe-inline'..." }, ]; ``` ## 2. CSRF 防御（middleware.ts） - Origin / Referer ヘッダー検証 - POST/PATCH/DELETE のみ対象 - Webhook と公開API は除外 - 許可リスト: 本番URL + localhost ## 3. レート制限（in-memory sliding window） ```typescript // 設定例 RATE_LIMIT_DEFAULT: { limit: 30, windowSec: 60 } // 読み取り RATE_LIMIT_WRITE: { limit: 10, windowSec: 60 } // 書き込み RATE_LIMIT_PUBLIC: { limit: 60, windowSec: 60 } // 公開API RATE_LIMIT_WEBHOOK: { limit: 100, windowSec: 60 } // Webhook ``` - IP + パス の組み合わせでバケット管理 - 429 レスポンス + Retry-After ヘッダー - 定期クリーンアップでメモリリーク防止 ## 4. 管理画面ベーシック認証 - middleware で `/dashboard/admin/*` にマッチ - 環境変数 ADMIN_BASIC_USER / ADMIN_BASIC_PASS - 未設定時はスキップ（開発環境対応） ## 5. アカウントロック（PCI DSS） - 10回のログイン失敗で30分ロック - in-memory カウンター（5分ごとクリーンアップ） - ログイン成功時にカウンターリセット ## 6. 監査ログ ```sql CREATE TABLE admin_audit_log ( id UUID PRIMARY KEY DEFAULT gen_random_uuid(), admin_id UUID REFERENCES profiles(id), action TEXT NOT NULL, target_type TEXT, target_id TEXT, detail JSONB, ip_address TEXT, created_at TIMESTAMPTZ DEFAULT NOW() ); ``` ## 7. セッション管理 - JWT maxAge: 24時間 - trustHost: true（プロキシ対応） - OAuth state 検証有効 ## チェックリスト - [ ] CSP ヘッダー設定 - [ ] CSRF middleware 追加 - [ ] 全 API にレート制限適用 - [ ] 管理画面にベーシック認証 - [ ] ログイン試行のロック機能 - [ ] 管理者操作の監査ログ

インストール

購入後にターミナルで実行してください。

正規購入者にはインストールコマンド再実行で最新版が配信されます。

評価とレビュー