ClearedToShip
获取放行许可
critical

如何保护你的环境变量和密钥

问题所在

AI 构建的应用经常因为把密钥放进客户端环境变量、提交 .env 文件,或在打包文件中暴露密钥而泄露。任何进入浏览器的东西都是公开的——密钥只能存在于服务端。

分步操作

  1. 1

    弄清哪些变量是公开的

    像 NEXT_PUBLIC_、VITE_ 或 REACT_APP_ 这样的前缀会发往浏览器。绝不要把真正的密钥放在公开前缀之后——只放非敏感配置。

  2. 2

    把密钥保留在服务端

    把 API 密钥、service-role 密钥和令牌存放在仅限服务端的环境变量中,并且只从服务端代码或无服务器函数访问它们。

  3. 3

    忽略并清除 .env 文件

    把 .env 和 .env*.local 加入 .gitignore。如果某个密钥曾被提交,请轮换它并从 git 历史中彻底清除——否则它会留在旧提交里。

  4. 4

    扫描并验证

    扫描你已部署的打包文件和仓库是否有暴露的密钥,并轮换任何泄露的内容。

相关:Replit 安全吗?Bolt 安全吗?Convex 安全吗?Appwrite 安全吗?

想要的不只是修复,还要有人核实?

修复只是第一步。ClearedToShip 的复核会确认修复确实有效,并为你出具一份签署的、带保险的上线放行许可。加入抢先体验:

免费上线就绪扫描
获取免费扫描