技能 next-js-16-launchpad
📦

next-js-16-launchpad

中风险 ⚡ 包含脚本🌐 网络访问🔑 环境变量⚙️ 外部命令

构建 Next.js 16 应用

Next.js 16 迁移包含路由、缓存和工具链方面的破坏性变更。此技能为现代 App Router 项目提供聚焦的工作流、入门资产和审查清单。

支持: Claude Codex Code(CC)
⚠️ 50
1

下载技能 ZIP

2

在 Claude 中上传

前往 Settings → Capabilities → Skills → Upload skill

3

开启并开始使用

测试它

正在使用“next-js-16-launchpad”。 我需要从 Next.js 15 迁移到 Next.js 16。

预期结果:

  • 一份按优先级排序的迁移清单,涵盖 codemods、async request APIs、proxy.ts 变更和已移除的配置选项。
  • 一份针对 Turbopack 构建、路由行为、图片配置和缓存边界的测试计划。

正在使用“next-js-16-launchpad”。 我正在构建一个带缓存评论的产品页面。

预期结果:

  • 一个将静态 shell 内容与动态区块分离的路由设计。
  • 关于使用 Cache Components、cache tags、Suspense 和 revalidation 的指导,避免将运行时请求数据混入缓存作用域。

正在使用“next-js-16-launchpad”。 我想在 Next.js 16 中创建一个安全的 dashboard 路由。

预期结果:

  • 一个基于 proxy.ts 的访问控制计划,包含服务端 session 检查。
  • 关于用生产级身份验证和密钥管理替换示例 token 处理的说明。

安全审计

中风险
v6 • 6/28/2026

Static analysis reported many command, network, environment, and sensitive-data patterns, but most are Markdown examples or public starter-code samples. No prompt injection, credential exfiltration, obfuscation, or confirmed malicious intent was found. The skill should publish with a medium warning because the included PowerShell bootstrap script and documented commands execute package-manager operations when users run them.

15
已扫描文件
3,350
分析行数
11
发现项
6
审计总数
中风险问题 (2)
Bootstrap Script Executes Package Manager Commands
The PowerShell helper runs npx and npm commands, including a codemod, package installation, and create-next-app. This is visible setup behavior, not hidden malware, but it fetches and runs external packages and writes project files when executed.
Command-Heavy Documentation Requires User Review
The static command findings mostly come from Markdown examples for npx, npm, node, next, and mv. These are false positives for hidden code execution, but users may copy and run them, so publication should include a warning about reviewing commands first.
低风险问题 (5)
Network Calls Are Public Examples
The fetch and hardcoded URL findings point to example endpoints such as jsonplaceholder and api.example.com. I did not find evidence that credentials or local data are sent to an unauthorized endpoint.
Environment Secret Access Appears Only in Auth Examples
The process.env.JWT_SECRET hits are documentation examples for JWT verification. They do not show exfiltration, logging, or hidden collection of environment variables.
Browser Storage and Credential Findings Are Documentation Text
The browser storage and credential-related hits are explanatory text about when Client Components need browser APIs and why cached scopes cannot access cookies. No browser credential file access was found.
Starter Error Boundary Displays Error Messages
The starter dashboard error boundary renders error.message. This is a minor information-disclosure concern if copied into production without sanitization, but it is normal sample UI and not a malicious pattern.
Weak Cryptography Detections Are Keyword False Positives
The weak cryptography detections align with framework documentation phrases such as Cache Components, layout metadata, or ordering examples. I did not find MD5, SHA1, DES, or custom cryptographic operations in the inspected locations.

检测到的模式

Bootstrap Script Executes Package Manager CommandsNetwork Calls Are Public ExamplesEnvironment Secret Access Appears Only in Auth Examples
审计者: codex 查看审计历史 →

质量评分

82
架构
100
可维护性
87
内容
71
社区
45
安全
91
规范符合性

你能构建什么

启动新的 App Router 项目

使用 Turbopack、TypeScript、Tailwind 和 App Router 默认配置创建 Next.js 16 基线。

规划版本升级

在分配迁移工作前,梳理从 Next.js 15 到 Next.js 16 所需的变更。

审查缓存和路由模式

检查 Cache Components、Suspense 边界、proxy.ts auth 和数据获取模式的正确性。

试试这些提示

创建 Next.js 16 入门计划
使用 next-js-16-launchpad 概述一个新的 Next.js 16 项目设置,包括 TypeScript、App Router、Turbopack、Tailwind 和基础文件夹结构。
升级我的项目清单
使用 next-js-16-launchpad 创建一份迁移清单,用于将我的 Next.js 15 App Router 项目升级到 Next.js 16。
审查缓存架构
使用 next-js-16-launchpad 审查我的 Cache Components 设计、Suspense 边界、revalidation 策略和运行时数据处理。
设计生产级路由模式
使用 next-js-16-launchpad 设计一个生产级 dashboard 模式,包括 proxy.ts auth、并行数据获取、Cache Components 和部署检查。

最佳实践

  • 运行 bootstrap 脚本前先审查它,因为它会安装包并创建项目文件。
  • 将示例 API endpoints、cookie 名称和 JWT 示例替换为生产批准的服务和 secrets 处理方式。
  • 结合测试使用迁移清单,覆盖路由、缓存、图片处理和 Turbopack 构建行为。

避免

  • 不要在敏感仓库中运行 PowerShell bootstrap 脚本,除非先审查包命令。
  • 不要在没有验证、轮换和安全 cookie 设置的情况下,将示例 auth 代码片段直接复制到生产环境。
  • 不要围绕 cookies、headers 或其他运行时请求数据启用 Cache Components。

常见问题

这个技能能帮助我构建什么?
它帮助创建或迁移使用 App Router、Turbopack、Cache Components 和 proxy.ts 的 Next.js 16 应用程序。
它能自动升级现有项目吗?
它包含指导和 bootstrap 脚本,但用户在运行命令前应先审查。
它支持 Pages Router 项目吗?
它专注于 App Router 和 Next.js 16 工作流。Pages Router 覆盖范围仅限于迁移上下文。
这些网络 URLs 可直接用于生产环境吗?
不支持。这些 URLs 是文档和入门代码中的示例。请将它们替换为已批准的项目 endpoints。
该技能包含安全指导吗?
是的。它涵盖 server-only 数据、基于 proxy 的 auth、输入验证和环境变量边界。
使用它之后我应该验证什么?
验证包变更、路由行为、缓存边界、Turbopack 兼容性和部署设置。