恶意行为者是否可以轻松访问带有NEXT_PUBLIC前缀的nextJ中的.env变量,或者因为它们与其他.env变数一样安全?
是的,NEXT_PUBLIC前缀允许NextJS将变量发送到客户端的浏览器。
来自文档:
由于NEXT_PUBLIC_前缀,该值将内联到发送到浏览器的JavaScript中。
不要使用带有NEXT_PUBLIC前缀的敏感数据。