即使用户未登录,NextJs 服务器通过直接链接返回块是否安全?
例如,我使用 Iron 会话部署了应用程序像这样,登录并收到了带有受限页面源代码的块的直接链接(看起来像
http://localhost:3000/_next/static/chunks/pages/profile-ssr-dd88f1f8754f9903.js
在这种情况下)。
现在我可以在任何其他浏览器中打开它,而无需会话。 攻击者是否可以通过这种方式暴力破解前缀并查看我的管理页面的外观?有没有办法通过限制访问来保护源代码,或者由于某种原因这可能不是问题?