Vercel Sandbox ファイアウォールがリクエストのプロキシ転送とフィルタリングをサポート
Vercel はサンドボックスファイアウォールにリクエストプロキシ機能とフィルタリング機能を追加し、開発者が外部プロキシを経由してトラフィックを制御・監査できるようになった。
キーポイント
リクエストプロキシ機能の導入
特定の HTTP リクエストをユーザーが管理するプロキシに転送可能になり、ログ記録やデバッグ、レスポンス変換が可能となった。
詳細なマッチャによる制御
パス、メソッド、クエリ文字列、ヘッダーに基づいて転送対象を絞り込むことで、特定の API 要求のみを変換し他は透過させる細かな制御が可能。
認証情報のブローキングと識別
OIDC トークンや SNI スキームなどの追加ヘッダーをプロキシに付与し、リクエストのソースチームやプロジェクトを特定・認証できる仕組みが実装された。
影響分析・編集コメントを表示
影響分析
この更新により、Vercel のサンドボックス環境を利用する開発者は、外部システムとの連携やセキュリティ監査をより柔軟かつ安全に行えるようになります。特に、特定の API 呼び出しのみを透過的に変換・記録する必要があるユースケースにおいて、インフラの複雑さを軽減し、デバッグ効率を大幅に向上させる効果が期待されます。
編集コメント
開発環境のセキュリティ監査やデバッグフローを強化する実用的な機能追加であり、特に大規模プロジェクトにおけるトラフィック制御の柔軟性を高めています。ただし、ベータ版であるため本番環境での導入には注意が必要です。
Vercel Sandbox ファイアウォールは、特定の HTTP リクエストをあなたが管理するプロキシに転送することをサポートするようになりました。また、マッチャーを使用して、必要なリクエストのみに対して転送や認証情報の仲介をスコープすることもできます。
リクエストのプロキシ化
現在、ログ記録、デバッグ、またはリクエストとレスポンスの変換のために、アウトバウンドのサンドボックストラフィックを独自のプロキシ経由でルーティングできるようになりました。許可されたドメインに forwardURL を設定すると、ファイアウォールは一致する HTTPS リクエストをあなたのサーバーへ転送します。
プロキシは、元のリクエストに加えて、ソースを識別するための追加ヘッダーを受け取ります:
vercel-forwarded-host: 元のリクエストの SNI
vercel-forwarded-scheme: 元のリクエストのスキーム
vercel-forwarded-port: 元のリクエストのポート
vercel-sandbox-oidc-token: プロキシがリクエストの認証とソースチーム/プロジェクト/サンドボックスの識別に使用できる、Vercel が発行した OIDC トークン。詳細はドキュメントをご覧ください。
マッチャー
さらに、特定のパス、メソッド、クエリ文字列、またはヘッダーに一致するリクエストに対してのみ、リクエスト転送や認証情報の仲介を制限するために、現在マッチャーを使用できるようになりました。これにより、どのリクエストを変換するかについて細粒度の制御が可能になります。例えば、POST リクエストのみを特定の API パスへ転送し、他のすべてのトラフィックは変更せずに通過させることができます。
これらの機能は、Pro および Enterprise プラン向けにベータ版として利用可能です。
@vercel/sandbox@beta SDK をインストールして始め、リクエストのプロキシ化とマッチャーの詳細についてはドキュメントをご覧ください。
続きを読む
原文を表示
The Vercel Sandbox firewall now supports forwarding specific HTTP requests to a proxy you control. You can also use matchers to scope forwarding and credentials brokering to only the requests that need it.
Requests proxying
You can now route outbound sandbox traffic through your own proxy for logging, debugging, or transforming requests and responses. Set a forwardURL on any allowed domain, and the firewall will forward matching HTTPS requests to your server.
The proxy receives the original request along with additional headers to identify the source:
vercel-forwarded-host: The original request's SNI
vercel-forwarded-scheme: The original request's scheme
vercel-forwarded-port: The original request's port
vercel-sandbox-oidc-token: A Vercel-issued OIDC token that the proxy can use to authenticate the request and identity the source team / project / sandbox. Learn more about it in the docs
Matchers
Additionally, you can now use matchers to limit request forwarding or credentials brokering to requests matching a specific path, method, query string, or headers. This gives you fine-grained control over which requests get transformed; for example, only forwarding POST requests to a specific API path while allowing all other traffic through untouched.
Those feature are available in beta for Pro and Enterprise plans.
Get started by installing the @vercel/sandbox@beta SDK, and learn more in the docs about requests proxying and matchers.
Read more
関連記事
今日のまとめ
AI日報で今日の重要ニュースをまとめ読み