API-Keys aus dem Client-Bundle entfernen — Cursor

Anderes Tool? Wähle deinen Stack:

Der Prompt für Cursor

Diesen Text exakt so in deinen Cursor-Chat kopieren und einfügen.

Apply these changes to my codebase. Edit the files directly and keep existing formatting:

CRITICAL: Move exposed API keys server-side immediately

1. CRITICAL: API keys are exposed in the frontend. Move all keys to environment variables immediately.
2. Create a server-side API route (app/api/) for each external API call that needs a secret key.
3. Remove any hardcoded secrets from client-side code — only use process.env.* in server components and API routes.
4. Never prefix secret keys with NEXT_PUBLIC_ — that exposes them to the browser.
5. Add .env* to .gitignore immediately.
6. Rotate every leaked key in the provider dashboard — assume they are compromised.

Warum das wichtig ist

Typische Fehler vermeiden

• error_outline`NEXT_PUBLIC_STRIPE_SECRET_KEY` nutzen — der Prefix machte es public. Jedes `NEXT_PUBLIC_*` shippt zum Browser.
• error_outlineOpenAI direkt aus React-Komponente aufrufen — Key kommt mit JS-Bundle.
• error_outline`.env` statt `.env.local` in Git committen — `.env` wird oft per Default getrackt.
• error_outlineSupabase `service_role`-Key im Client — umgeht RLS und liest/schreibt alles.
• error_outlineKey in API-Route shippen, aber bei Error `process.env` loggen und in Logs leaken.

Wie du prüfst ob der Fix geklappt hat

• check_circleDevTools → Sources → nach dem Key-Wert suchen — muss 0 Treffer liefern.
• check_circle`curl https://deinesite.com/ | grep "sk_live"` — liefert nichts für Stripe-Secret-Keys.
• check_circleNach Exposure rotieren — alte Keys sind für immer kompromittiert, auch wenn "entfernt".
• check_circleGitGuardian oder git-secrets im Repo einrichten für Pre-Commit-Leak-Detection.

Häufige Fragen