2025-12-08

React RCE 事件留下的教訓：為何現在需要 HMAC 簽名、金鑰輪替與零信任

React Server Components/Next.js 中發生的 RCE（CVE-2025-55182）事件展示了對客戶端資料的無條件信任有多麼危險。本文詳細說明如何透過 HMAC 簽名、金鑰輪替與零信任原則，確保內部 API 與資料完整性，並強調在安全設計中「信任」應被「驗證」取代。