2025-12-08

React RCE 事件留下的教训：为什么现在需要 HMAC 签名、密钥轮换和零信任

React Server Components/Next.js 中发生的 RCE（CVE-2025-55182）事件展示了对客户端数据的无条件信任有多么危险。本文详细说明了如何通过 HMAC 签名、密钥轮换和零信任原则来保障内部 API 与数据完整性，并强调在安全设计中“信任”应被“验证”所取代。