安全最佳实践

环境变量

启动 Remotion Studio 或通过命令行运行渲染时，以 REMOTION_ 和 .env 为前缀的环境变量将传递给无头浏览器。您有责任确保这些环境变量不会暴露给其他服务，因为您正在与 Web 进行交互。

您不应尝试从应用程序前端调用 @remotion/lambda 中的 renderMediaOnLambda() 或其他 API。这些 API 只能使用 AWS 凭据调用，这意味着您必须将您的 AWS 凭据暴露给 Web。这是一个安全风险，应该避免。

我们提供了一个解决 CORS 问题的方法，即 disableWebSecurity 标志。此标志会禁用无头浏览器中的同源策略。如果您使用它，您需要了解其可能带来的影响，并评估这是否会对您构成安全风险。

诸如 renderMedia() 和 renderMediaOnLambda() 的 API 可能会很昂贵（在计算或财务上）。您应确保不在未经身份验证或速率限制的情况下将这些 API 暴露给 Web。否则，您可能会容易受到 DDoS 攻击。

通常您会将 Remotion 与其他 Node.js 依赖项一起使用。
您应仅安装信任的依赖项，因为它们可以在其 postinstall 脚本中运行任意代码。依赖项，包括 Remotion，可能存在已知漏洞，您可以使用 npm audit 命令列出这些漏洞。