无论是 API 请求、Webhook 接收端,还是从消息队列里拿到的消息,甚至是写在 localStorage 里的缓存和 SSR 生成的客户端脱水数据,只要涉及外部输入,就必须使用类似 Zod、Valibot 这样的库在运行时进行强校验。只有通过了校验的数据才能进入后面的业务逻辑,剩下 ...