11 maggio 2026
React Server Components: promessa di performance, realtà di superficie d’attacco
React Server Components hanno portato un modello di sviluppo potente: componenti async, accesso diretto a dati e rendering sul server con meno JavaScript sul client. Ma la storia recente di vulnerabilità (DoS, SSRF, bypass, e persino RCE nella filiera server-side) mostra un pattern preoccupante: la complessità della serializzazione, dei confini client/server e dell’App Router può trasformarsi in una superficie d’attacco ampia, anche per app che “non usano RSC esplicitamente”. In questo articolo facciamo il punto: cosa cambia davvero rispetto a CSR/SSR classico, perché certe classi di bug sono più probabili, e quali contromisure pragmatiche adottare oggi se lavori con Next.js e App Router.