Runbook

Next.js ENV Leak verhindern

Server/Client Boundary richtig ziehen.

Ziel

Server/Client Boundary richtig ziehen.

Sichere Defaults

Deny‑by‑default
Least privilege
Explizite Allow‑Listen statt Wildcards

Snippet (Copy/Paste)

# Next.js ENV Leak Quick Rules
- Alles was mit NEXT_PUBLIC_ beginnt, landet im Browser Bundle.
- Geheimnisse (API keys) niemals NEXT_PUBLIC_.
- Nur serverseitig lesen: process.env.MY_SECRET in server components / route handlers.
- Client Components: nur public vars, niemals secrets.

Implementierung

Ziel definieren: Was soll diese Konfiguration erreichen? (Next.js ENV Leak verhindern)
Sichere Defaults setzen (deny-by-default, least privilege).
Konfig anwenden + Reload/Deploy.
Verifizieren (curl/healthcheck/logs) + Re-Check.
Dokumentieren: Warum, wie, rollback.

Verifikation

curl -I https://deine-domain.tld
curl -sS https://deine-domain.tld/health || true

Steps

Ziel definieren: Was soll diese Konfiguration erreichen? (Next.js ENV Leak verhindern)
Sichere Defaults setzen (deny-by-default, least privilege).
Konfig anwenden + Reload/Deploy.
Verifizieren (curl/healthcheck/logs) + Re-Check.
Dokumentieren: Warum, wie, rollback.

Re-Check starten →Copilot Runbook Builder →

config runbook ops next env

Related Runbooks

Firewall Baseline auf Hetzner

Default deny, minimal offene Ports, sichere Defaults. (Operator Guide für Hetzner).

Öffnen →

SSH Hardening auf Hetzner

Key-only, Root aus, Rate-Limits, sichere Admin-Zugänge. (Operator Guide für Hetzner).

Öffnen →

WebSocket Origin Hardening auf Hetzner

Origin whitelist, Auth, Rate-Limits, sichere Headers. (Operator Guide für Hetzner).

Öffnen →