API-Keys aus dem Client-Bundle entfernen — Windsurf

Anderes Tool? Wähle deinen Stack:

Der Prompt für Windsurf

Diesen Text exakt so in deinen Windsurf-Chat kopieren und einfügen.

Using Windsurf Cascade, apply these edits across the project in one pass:

CRITICAL: Move exposed API keys server-side immediately

1. CRITICAL: API keys are exposed in the frontend code. This is an immediate security risk.
2. Move all secret keys to server-side environment variables.
3. Create server-side endpoints that make API calls on behalf of the frontend.
4. Only public/anon keys should ever be in client-side code.
5. Rotate all leaked keys immediately in each provider dashboard.
6. Add .env* to .gitignore.

Warum das wichtig ist

Typische Fehler vermeiden

• error_outline`NEXT_PUBLIC_STRIPE_SECRET_KEY` nutzen — der Prefix machte es public. Jedes `NEXT_PUBLIC_*` shippt zum Browser.
• error_outlineOpenAI direkt aus React-Komponente aufrufen — Key kommt mit JS-Bundle.
• error_outline`.env` statt `.env.local` in Git committen — `.env` wird oft per Default getrackt.
• error_outlineSupabase `service_role`-Key im Client — umgeht RLS und liest/schreibt alles.
• error_outlineKey in API-Route shippen, aber bei Error `process.env` loggen und in Logs leaken.

Wie du prüfst ob der Fix geklappt hat

• check_circleDevTools → Sources → nach dem Key-Wert suchen — muss 0 Treffer liefern.
• check_circle`curl https://deinesite.com/ | grep "sk_live"` — liefert nichts für Stripe-Secret-Keys.
• check_circleNach Exposure rotieren — alte Keys sind für immer kompromittiert, auch wenn "entfernt".
• check_circleGitGuardian oder git-secrets im Repo einrichten für Pre-Commit-Leak-Detection.

Häufige Fragen