php
SSR(服务端渲染)框架的核心价值在于,它首次加载时像
php 等传统后端技术一样,在
服务器端完成页面渲染并生成完整的 HTML 内容。然而,与传统后端不同的是,用户在页面内进行交互时,它又表现出单页应用(SPA)的特性,无需重新渲染整个页面。过去,大多数 SSR 框架仅在首次访问时于服务端渲染一次,后续的逻辑交互仍需按照 SPA 的方式手动编写代码。而新一代的 Next.
JS 则展现出一种新能力:在内容渲染到
客户端后,可以自动生成一些 action,这些 action 会自动对应接口,并将数据序列化后返回服务端执行。这一特性令人印象深刻,但其背后实现细节可能存在值得探讨的地方。毕竟,
客户端与服务端的数据交互并非如代码表面那样简单。攻击者完全可能篡改从
客户端发送至服务端的数据,这使得数据的有效性校验成为一大挑战。相比传统的后端接口设计,后者通常会经过严格的评审以确保安全性和合理性,而这种动态生成的 action 更容易因缺乏系统性设计而导致漏洞或纰漏。因此,在实际应用中,如何保障这些自动生成的 action 和接口的安全性与稳定性,是一个需要重点关注的问题。
