個人的に今回の脆弱性対応を通じて学んだのは、「RSCが悪い」という単純な話ではないです。それよりも強く感じたのは、React視点でフロントエンドとバックエンドを密結合する設計は、明確に“諸刃の剣”だということです。

正直に言うと、この脆弱性に向き合うまで、React Routerであれ Next.js であれ、「特定のページを表示するまでにクライアントとサーバーの間でどのような通信が行われているか」を自分の言葉で明確に説明できていませんでした。

これは今振り返ると、かなり異常な状態だったと思います。

たとえば Ruby on Rails のような一般的な Web フレームワークを使っている場合、「どんな API エンドポイントが外部に公開されているのか分からない」という状況は、まず起こり得ません。当たり前ですが、最終的にはhtmlやjsonを返しているわけですからね。

しかし自分は、気づかないうちにそれと同等、あるいはそれ以上に危うい状態で開発をしていたのだと思います。

そして、これは RSC に限った話ではありません。React Routerにおける loader や action についても、「何をしているかを正確に理解しないまま使う」ことは本来あり得ないはずです。

それは、最も慎重であるべきフロントエンドとバックエンドの通信部分を、事実上ブラックボックスに委ねているのと同じだからです。

もし実装が極端に単純で、長年にわたって安定しているのであればまだしも、そうでないなら少なくとも「OpenSSL と同じくらい信用できる」と確信できない限り、無条件に任せて良い領域ではないと感じました。

その意味で、「React Router だから大丈夫」「Next.js だから安心」とは、個人的にはとても言えません。少なくとも、自分自身がその仕組みを十分に理解し、説明できるようになるまでは、純粋なバックエンド機能をこれらの仕組みに載せるのは危険だ、という判断に至りました。 December 12, 2025

getなのにjsonのbody投げ込んでるのすげーモヤるんだが。 December 12, 2025