Das Boilerplate enthält jetzt eine umfassende Sicherheitsschicht, die jede API-Route schützt. Das Rate Limiting wird über Upstash Redis mit kategoriebasierten Limits gesteuert – Endpunkte mit hohem Upload-Aufkommen haben dabei engere Schwellenwerte als allgemeine API-Aufrufe. Jede Kategorie trackt Anfragen unabhängig über Sliding-Window-Zähler.
| Kategorie | Limit |
|---|---|
| Upload | 10 / Stunde |
| 5 / Stunde | |
| Payments | 20 / Stunde |
| API | 100 / Stunde |
Der CORS-Schutz verwendet umgebungsabhängige Origin-Allowlists. In der Entwicklung sind localhost-Origins erlaubt. In der Produktion wird ausschließlich die konfigurierte Domain akzeptiert – keine Wildcards. Alle API-Eingaben durchlaufen eine serverseitige Sanitisierungsschicht, die potenzielle XSS-Payloads mittels Regex-Erkennung herausfiltert, bevor die Daten die Datenbank erreichen oder in Antworten gerendert werden.
Security-Header werden global über die Next.js Middleware angewendet. Das Header-Set umfasst Content-Security-Policy, Strict-Transport-Security, X-Frame-Options, X-Content-Type-Options und Referrer-Policy. Alle API-Route-Eingaben werden vor der Verarbeitung mit Zod-Schemas validiert – das sorgt für Typsicherheit zur Laufzeit an der Grenze zwischen Client und Server.
Contributors
Sascha Rahn