NeoWhisperは東京都港区を拠点とする個人事業主です。税務署へ開業届を提出済みで、ソフトウェア開発・ゲーム開発・アプリ開発・Web/コンテンツ制作・翻訳サービスを提供しています。
専門分野: Next.js • TypeScript • React • Node.js • 多言語サイト • SEO • パフォーマンス最適化
Next.js を Vercel で運用する際の実践的なハードニング手順。CSP・CORS・メタデータルート・監視・安全なリリース順序を整理。
本番だけで発生する500エラーは、実は再現可能で切り分け可能です。Next.js App Router向けに、ルート障害を特定するための実践手順をまとめました。
AdSenseスクリプトがCSPでブロックされる?コンソールがframe-srcエラーでいっぱい?本番環境で6つのCSP違反をデバッグし、解決したステップを実際のメッセージと共に解説します。
コンタクトフォームはシンプルであるべきです。本番環境にデプロイするまでは。
公開した途端、スパムが押し寄せ、メールは迷惑メールフォルダに振り分けられ、ユーザーは空のフォームを送信してくる。受信トレイはBotの通知で埋め尽くされ、肝心の本物の問い合わせが埋もれてしまう。
私は先日、当サイトのコンタクトフォームを再構築しました。ここでは、実際に「機能する」フォームの作り方を、理論抜きで紹介します。実際のユーザー(と実際のBot)がアクセスし始めたときに本当に重要となるパターンだけを凝縮しました。
基本的なコンタクトフォームを作るのは簡単ですが、本番環境では以下の4つの理由で破綻します:
2026年のBotが簡単に回避してしまうハニーポットではなく、本物のスパム保護が必要です。また、SPF、DKIM、DMARCといった信頼性の高いメール配信設定と、堅牢なUXも欠かせません。
Cloudflare Turnstile は、Googleによる追跡を伴わない、最新のreCAPTCHA代替手段です。ほとんどのユーザーには見えず、妥当なアクセス量であれば無料で利用でき、Botを確実に阻止します。
Resend は、SendGridやMailgunに代わる現代的な選択肢です。クリーンなAPI、優れた到達性、そして良心的な価格設定が魅力です。
まず、CloudflareからTurnstileのサイトキーを取得します。
それを .env.local に追加します:
NEXT_PUBLIC_TURNSTILE_SITE_KEY=your-site-key
TURNSTILE_SECRET_KEY=your-secret-key
次に、ウィジェットをフォームに配置します:
"use client";
export default function ContactForm() {
return (
<form method="POST" action="/api/contact">
<input name="name" required />
<input name="email" type="email" required />
<textarea name="details" required />
{/* Turnstile チャレンジ */}
<div
className="cf-turnstile"
data-sitekey={process.env.NEXT_PUBLIC_TURNSTILE_SITE_KEY}
/>
<button type="submit">送信</button>
<Script
src="https://challenges.cloudflare.com/turnstile/v0/api.js"
async
defer
/>
</form>
);
}
APIルート (/api/contact/route.ts) で、メールを送信する前にトークンを確認します。クライアント側のトークンは偽装可能なため、必ずサーバーサイドで検証してください。
export async function POST(request: Request) {
const formData = await request.formData();
const turnstileToken = formData.get("cf-turnstile-response");
if (!turnstileToken) {
return NextResponse.json(
{ ok: false, message: "スパム検証に失敗しました。" },
{ status: 400 },
);
}
// Cloudflare で検証
const verifyResponse = await fetch(
"https://challenges.cloudflare.com/turnstile/v0/siteverify",
{
method: "POST",
headers: { "Content-Type": "application/json" },
body: JSON.stringify({
secret: process.env.TURNSTILE_SECRET_KEY,
response: turnstileToken,
}),
},
);
const verifyData = await verifyResponse.json();
if (!verifyData.) {
.(
{ : , : },
{ : },
);
}
}
ResendからAPIキーを取得し、彼らのクリーンなAPIを使ってメールを送信します:
const emailPayload = {
from: process.env.RESEND_FROM,
to: [process.env.RESEND_TO],
subject: `${formData.get("name")}様からの新しいお問い合わせ`,
reply_to: formData.get("email"),
text: `お名前: ${formData.get("name")}\nメール: ${formData.get("email")}\n\n${formData.get("details")}`,
};
const emailResponse = await fetch("https://api.resend.com/emails", {
method: "POST",
headers: {
Authorization: `Bearer ${process.env.RESEND_API_KEY}`,
"Content-Type": "application/json",
},
body: JSON.stringify(emailPayload),
});
メールを送ること自体は簡単ですが、確実に「受信トレイ」に届けるのは至難の業です。以下の3つのDNSレコードが必要になります:
DNS 設定の要件:
v=spf1 include:_spf.resend.com ~allv=DMARC1; p=quarantine; rua=mailto:postmaster@yourdomain.com; pct=100; adkim=s; aspf=sこれらが設定されていないと、GmailやOutlookはあなたのメールをスパムとしてマークしたり、完全に拒否したりします。当サイトのコンタクトフォームも、DMARCを追加するまで数週間まともに機能していませんでした。
JavaScriptが読み込まれなかった場合でも、フォームが動作するようにします。APIルートでコンテンツタイプを検出することで、ネイティブなフォーム送信に対応できます:
const contentType = request.headers.get("content-type") ?? "";
const isFormSubmit = contentType.includes("application/x-www-form-urlencoded");
if (isFormSubmit) {
return NextResponse.redirect(
new URL("/contact?success=1&lang=ja", request.url),
303,
);
}
汎用的なエラーメッセージを返すのではなく、何が間違っているのか(必須項目の漏れ、無効なメール形式、認証失敗など)を具体的に伝えることで、ユーザーが修正しやすくします。
Turnstileを「チャレンジ完了」と「未完了」の両方でテストする
MXToolbox等でDNSレコード(SPF/DKIM/DMARC)が正しく設定されているか確認する
JavaScriptを無効にして、フォームが正常に送信されるか確認する
サーバーログを確認し、Resend APIからのエラーが捕捉されているかチェックする
商用レベルのコンタクトフォーム構築でお困りですか? スパム対策からメール到達性の最適化まで、Next.js開発の細かなテクニックを熟知しています。サービス詳細をご覧いただくか、お問い合わせからお気軽にご相談ください。
関連記事: 多言語サイトを構築されている方は、AdSense対応の多言語Next.jsサイト出荷ガイドもぜひご覧ください。