How Zod schemas can fail across Next.js Server Actions, edge middleware, and the client

Zod on the server and the client: the schema you define once and the three ways it breaks in runtime

Zod on the server and the client: the schema you define once and the three ways it breaks in runtime 80% of Next.js projects using Zod have the same schema imported from three different contexts. And only one of those three contexts behaves exactly the way Zod promises. Yeah, you read that right. The mental model of "define the schema once and validate everywhere" is true inside the library — but in a real stack with Next.js 16 — Server Actions, edge middleware, and API routes — you're dealing with three execution environments with different constraints, and Zod doesn't always arrive complete to all three. My thesis: Zod is one of the best tools in the TypeScript ecosystem, but sharing the same schema across client, Node.js server, and edge runtime without thinking about context differences produces three specific failure classes that aren't obvious until they blow up. This post documents those three failures and the pattern that prevents them. The problem nobody draws in the diagram When you start with Zod, the flow looks clean: a schema in lib/schemas/user.ts, imported from the Server Action, from the client form, and from the middleware. TypeScript happy, a single source of truth. The problem is that .ts file runs in three different engines depending on context: Context Runtime Relevant constraints Client component / form Browser (V8) No Node APIs, bundle must stay small Server Action / API Route Node.js on the server Full access, but strict serialization between server/client Middleware (middleware.ts) Edge Runtime (restricted V8) No Node.js APIs, limited ESM modules, no eval Zod itself is compatible with all these contexts at its core. The problem isn't Zod — it's what you build on top of Zod: refinements with Node.js logic, transforms that return non-serializable types, and errors that travel back to the client unfiltered. Failure #1: The .refine() that silently calls Node.js The first failure mode shows up in the middleware. You have a session or route parameter validation schema, you drop it in middleware.ts, and at some point that schema has a .refine() that does something innocent like this: // lib/schemas/session.ts import { z } from "zod" import { isValidToken } from "@/lib/crypto" // ← uses Node.js crypto export const sessionSchema = z.object({ token: z.string().refine( async (val) => isValidToken(val), // ← calls a function with Node API { message: "Invalid token" } ) }) // middleware.ts — Edge Runtime import { sessionSchema } from "@/lib/schemas/session" export async function middleware(request: NextRequest) { const result = await sessionSchema.safeParseAsync({ token: getCookie(request) }) // ← in Edge Runtime, this can fail if isValidToken uses Node's crypto.subtle } Next.js's edge runtime runs in a restricted V8 environment — similar to Cloudflare Workers — that doesn't expose all Node.js APIs. If isValidToken internally uses Node's crypto (not the Web Crypto API), the import explodes at runtime, not at build time. TypeScript won't catch it because the signature is valid. The fix: schemas that go to the middleware have to be edge-safe by design. If you need validation logic that depends on Node.js APIs, that logic doesn't belong in the edge schema — it belongs in the Server Action running on Node.js. // lib/schemas/edge/session.ts — structural validation only, no Node logic import { z } from "zod" export const edgeSessionSchema = z.object({ token: z.string().min(32).max(512), // pure structural validation // No .refine() calling anything external }) // lib/schemas/server/session.ts — for Server Actions / API Routes on Node.js import { z } from "zod" import { isValidToken } from "@/lib/crypto" export const serverSessionSchema = z.object({ token: z.string().refine( async (val) => isValidToken(val), { message: "Invalid token" } ) }) Separating schemas by execution layer isn't duplicating code — it's documenting the real contract for each context. You can read more about how the Web Crypto API differs between browser and Node.js in this stack analysis — the same logic applies to what you can safely put inside an edge .refine(). Failure #2: The .transform() that breaks serialization in Server Actions The second failure mode is more subtle and only surfaces in Server Actions. When a Server Action returns data, Next.js serializes it to send to the client using a protocol based on React Server Components (similar to JSON but with support for Promises, Dates, and some special types). The official docs call these "serializable return values." The problem: if your schema uses .transform() to convert data into something non-serializable — a Map, a class instance, a Set, or an object with methods — and that result travels directly to the client from a Server Action, Next.js can't serialize it. // lib/schemas/user.ts — shared schema without thinking about context import { z } from "zod" export const userSchema = z.object({ id: z.string(), roles: z.array(z.string()).transform( (roles) => new Set(roles) // ← Set is not serializable by React Server Components ) }) // app/actions/user.ts — Server Action "use server" import { userSchema } from "@/lib/schemas/user" export async function getUser(formData: FormData) { const parsed = userSchema.parse({ id: formData.get("id"), roles: ["admin"] }) return parsed // ← Next.js tries to serialize this → runtime error } TypeScript accepts this code. The build passes. The error shows up at runtime when Next.js tries to serialize the Set to send to the client component. The most direct fix: if the transform exists for internal server convenience, don't put it in the shared schema. Put the base schema (without the transform) in the shared location, and apply the transform only inside the Server Action or service that needs it. // lib/schemas/user.ts — base schema, no transforms that break serialization import { z } from "zod" export const userSchema = z.object({ id: z.string(), roles: z.array(z.string()) // serializable array }) // Clean inferred type for the client export type User = z.infer<typeof userSchema> // app/actions/user.ts "use server" import { userSchema } from "@/lib/schemas/user" export async function getUser(formData: FormData) { const parsed = userSchema.parse({ id: formData.get("id"), roles: ["admin"] }) // You do the Set transform here, on the server, and don't send it to the client const rolesSet = new Set(parsed.roles) return parsed // only the serializable object } This connects directly to the caching mental model in App Router: data traveling between server and client has constraints that TypeScript code doesn't reflect. If you want to go deeper on those constraints from the React side, the post on React 19 Server Components and caching covers the mental model that's missing from the documentation. Failure #3: The Zod error that reaches the client unsanitized The third failure is a security issue and it's the easiest one to introduce. When zod.parse() fails, it throws a ZodError with an array of issues. Each issue has path, message, and code. If you catch that error in a Server Action and send it directly to the client without processing it, you're shipping the complete internal validation structure — including internal field names, nested paths, and sometimes messages that leak business logic. // ❌ Insecure pattern — the full ZodError travels to the client "use server" import { userSchema } from "@/lib/schemas/user" export async function createUser(formData: FormData) { try { const data = userSchema.parse(Object.fromEntries(formData)) // ... } catch (error) { // ← if it's a ZodError, this exposes internal paths to the client return { error: error instanceof Error ? error.message : "Unknown error" } } } ZodError.message is a serialized JSON with all the issues. On a password field or a field validating against an internal list of prohibited values, that can leak information. The right pattern is to use safeParseAsync or safeParse and explicitly build the error message you want the client to receive: // ✅ Secure pattern — sanitized errors "use server" import { userSchema } from "@/lib/schemas/user" export async function createUser(formData: FormData) { const result = userSchema.safeParse(Object.fromEntries(formData)) if (!result.success) { // You build exactly what you want to expose const publicErrors = result.error.issues.map((issue) => ({ field: issue.path.join("."), // do you want to expose the path? your call message: issue.message, // is this message safe for the client? })) return { success: false, errors: publicErrors } } // data is correctly typed const data = result.data // ... return { success: true } } This pattern also makes it much easier to internationalize error messages, because you have explicit control over what gets sent. Decision checklist: how to share schemas across contexts Before importing a schema from a new context, run it through these questions: Will the schema run in Edge Runtime (middleware)? → Does it have .refine() or .transform() that calls external functions? → YES: separate into an edge-safe schema with structural validation only → NO: you can reuse it carefully Will the schema be returned from a Server Action to the client? → Does it have .transform() that produces Map, Set, complex Date, class instance? → YES: apply the transform on the server, return the base serializable type → NO: the base schema can be shared Will validation errors reach the client? → Are you using .parse() and catching the error directly? → YES: replace with .safeParse() and build the error response manually → NO: verify that error messages don't expose internal business logic The golden rule: the shared schema should only have pure structural validations — types, lengths, formats, required fields. Validations that depend on business logic, database access, or Node.js APIs belong in server-exclusive schemas. Limits: what you can't conclude without more evidence This analysis is based on official Zod and Next.js documentation and reproducible patterns. What you can't assume from this: That these three failure modes are the only ones. In a stack with tRPC, Remix, or Vercel Edge Functions, the constraints may differ. That Next.js 16's edge runtime and Vercel's are identical in every case. The Next.js and Vercel Edge Runtime docs have some nuances of their own. That .transform() always breaks serialization in Server Actions. Transforms that produce primitive types, arrays of primitives, or plain objects work fine. The problem is specific to types that aren't serializable by the React Server Components protocol. If you want to verify the behavior in your own stack, the reproducible experiment is simple: create a schema with a .transform() that returns a new Set(), use it in a Server Action, and inspect the error in the browser console. Next.js's error message is pretty clear about what it can't serialize. FAQ on Zod in production with Next.js 16 Can I use the same Zod schema on client and server? Yes, if the schema only has pure structural validations (types, formats, lengths). The problem appears when you add .refine() with logic that depends on Node.js APIs or .transform() that produces non-serializable types. Does Zod work in Next.js's Edge Runtime? Zod's core does. Problems appear when .refine() or .transform() inside the schema call code that uses Node.js-exclusive APIs (like crypto, fs, or buffer). Zod itself doesn't use those APIs in its core. What's the difference between parse() and safeParse() for Server Actions? parse() throws a ZodError on failure, which you need to catch with try/catch. safeParse() returns { success: true, data } or { success: false, error } without throwing an exception. For Server Actions, safeParse() gives you explicit control over what errors you send to the client — which is the safe way to handle it. Can I put database validations inside a Zod .refine()? You can, but only in server schemas (never in schemas running on edge or client). An async .refine() that queries the database to check email uniqueness is a valid pattern in a Server Action on Node.js. In edge runtime or on the client, that makes no sense and isn't possible. How do you know if a transform will break serialization in a Server Action? The practical rule: if the resulting type of the transform is Map, Set, a class instance with methods, or anything that isn't serializable to plain JSON, don't return it directly from the Server Action. You can verify this in the official Next.js documentation on serialization in Server Actions. Is it worth having separate schemas per context if it complicates the project? The separation is only necessary where there are real differences: if you don't have middleware with validation logic, you don't need edge schemas. The minimum rule is: a shared base schema with structural validations, and extended schemas with .refine() / .transform() only where the context allows it. Final stance and next step Zod isn't broken. The "define once" model works perfectly for pure structural validations that don't depend on the execution environment. The problem is that in Next.js 16 with Server Actions and middleware, that execution environment changes silently and TypeScript doesn't warn you. What I do buy: Zod as the source of truth for your types and data structure. What I don't buy without thinking: using the same schema with complex transforms and refinements across all three contexts without separating responsibilities. The pattern that works is simple: a shared base schema with structural validations, server schemas for Node.js logic, and safeParse() whenever errors might travel to the client. It's not overhead — it's explicitly documenting what contract belongs to what layer. The concrete next step: if you have a project with Zod in Next.js 16, find every place where you import a schema that has .refine() or .transform(), and verify what context it runs in. Three minutes of grep can save you a runtime error that only shows up in production. Original sources: Zod Documentation: https://zod.dev/ Next.js Server Actions Docs: https://nextjs.org/docs/app/building-your-application/data-fetching/server-actions-and-mutations This article was originally published on juanchi.dev

9 hours ago

Zod en el servidor y en el cliente: el schema que creés una vez y las tres formas en que se rompe en runtime

Zod en el servidor y en el cliente: el schema que creés una vez y las tres formas en que se rompe en runtime El 80% de los proyectos Next.js que usan Zod tienen el mismo schema importado desde tres contextos distintos. Y solo uno de esos tres contextos se comporta exactamente como Zod promete. Sí, leíste bien. El modelo mental de "definí el schema una vez y validá en todos lados" es verdad en la librería, pero en un stack real con Next.js 16 —Server Actions, edge middleware y API routes— aparecen tres entornos de ejecución con restricciones distintas, y Zod no siempre llega completo a los tres. Mi tesis es esta: Zod es una de las mejores herramientas del ecosistema TypeScript, pero compartir el mismo schema entre cliente, servidor Node.js y edge runtime sin pensar en las diferencias de contexto produce tres clases de falla específicas que no son obvias hasta que aparecen. Este post documenta esas tres fallas y el patrón que las evita. El problema que nadie dibuja en el diagrama Cuando empezás con Zod, el flujo parece limpio: un schema en lib/schemas/user.ts, lo importás desde el Server Action, desde el formulario del cliente y desde el middleware. TypeScript feliz, un solo source of truth. El problema es que ese archivo .ts se ejecuta en tres motores diferentes según el contexto: Contexto Runtime Restricciones relevantes Componente cliente / formulario Browser (V8) Sin acceso a Node APIs, bundle debe ser pequeño Server Action / API Route Node.js en el servidor Acceso completo, pero serialización estricta entre server/client Middleware (middleware.ts) Edge Runtime (V8 restringido) Sin Node.js APIs, módulos ESM limitados, sin eval Zod en sí mismo es compatible con todos estos contextos en su core. El problema no es Zod: es lo que construís sobre Zod — refinements con lógica de Node.js, transforms que retornan tipos no serializables, y errores que viajan de vuelta al cliente sin filtro. Falla #1: El .refine() que llama a Node.js sin avisar El primer modo de falla aparece en el middleware. Tenés un schema de validación de sesión o de parámetros de ruta, lo ponés en middleware.ts, y en algún momento ese schema tiene un .refine() que adentro hace algo inocente como esto: // lib/schemas/session.ts import { z } from "zod" import { isValidToken } from "@/lib/crypto" // ← usa Node.js crypto export const sessionSchema = z.object({ token: z.string().refine( async (val) => isValidToken(val), // ← llama a función con Node API { message: "Token inválido" } ) }) // middleware.ts — Edge Runtime import { sessionSchema } from "@/lib/schemas/session" export async function middleware(request: NextRequest) { const result = await sessionSchema.safeParseAsync({ token: getCookie(request) }) // ← en Edge Runtime, esto puede fallar si isValidToken usa crypto.subtle de Node } El edge runtime de Next.js corre en un entorno V8 restringido —similar al de Cloudflare Workers— que no expone todas las APIs de Node.js. Si isValidToken internamente usa crypto de Node (no la Web Crypto API), el import explota en runtime, no en build time. TypeScript no lo va a atrapar porque la firma es válida. La solución: los schemas que van al middleware tienen que ser edge-safe por diseño. Si necesitás lógica de validación que depende de Node.js APIs, esa lógica no va en el schema de edge — va en el Server Action que corre en Node.js. // lib/schemas/edge/session.ts — solo validación estructural, sin lógica de Node import { z } from "zod" export const edgeSessionSchema = z.object({ token: z.string().min(32).max(512), // validación estructural pura // Sin .refine() que llame a nada externo }) // lib/schemas/server/session.ts — para Server Actions / API Routes en Node.js import { z } from "zod" import { isValidToken } from "@/lib/crypto" export const serverSessionSchema = z.object({ token: z.string().refine( async (val) => isValidToken(val), { message: "Token inválido" } ) }) Separar los schemas por capa de ejecución no es duplicar código: es documentar el contrato real de cada contexto. Podés leer más sobre cómo Web Crypto API difiere entre browser y Node.js en este análisis del stack — la misma lógica aplica a lo que podés poner en un .refine() de edge. Falla #2: El .transform() que rompe la serialización en Server Actions El segundo modo de falla es más sutil y aparece solo en Server Actions. Cuando un Server Action retorna datos, Next.js los serializa para enviarlos al cliente usando un protocolo basado en React Server Components (similar a JSON pero con soporte para Promises, Dates y algunos tipos especiales). La documentación oficial lo llama "serializable return values". El problema: si tu schema usa .transform() para convertir datos en algo no serializable —un Map, una instancia de clase, un Set, o un objeto con métodos— y ese resultado viaja directo al cliente desde un Server Action, Next.js no puede serializarlo. // lib/schemas/user.ts — schema compartido sin pensar en el contexto import { z } from "zod" export const userSchema = z.object({ id: z.string(), roles: z.array(z.string()).transform( (roles) => new Set(roles) // ← Set no es serializable por React Server Components ) }) // app/actions/user.ts — Server Action "use server" import { userSchema } from "@/lib/schemas/user" export async function getUser(formData: FormData) { const parsed = userSchema.parse({ id: formData.get("id"), roles: ["admin"] }) return parsed // ← Next.js intenta serializar esto → error en runtime } TypeScript acepta este código. El build pasa. El error aparece en runtime cuando Next.js intenta serializar el Set para mandarlo al componente cliente. La solución más directa: si el transform existe para comodidad interna del servidor, no lo pongas en el schema compartido. Poné el schema base (sin el transform) en el lugar compartido, y aplicá el transform solo dentro del Server Action o del service que lo necesita. // lib/schemas/user.ts — schema base, sin transforms que rompan serialización import { z } from "zod" export const userSchema = z.object({ id: z.string(), roles: z.array(z.string()) // array serializable }) // Tipo inferido limpio para el cliente export type User = z.infer<typeof userSchema> // app/actions/user.ts "use server" import { userSchema } from "@/lib/schemas/user" export async function getUser(formData: FormData) { const parsed = userSchema.parse({ id: formData.get("id"), roles: ["admin"] }) // El transform al Set lo hacés acá, en el server, y no lo mandás al cliente const rolesSet = new Set(parsed.roles) return parsed // solo el objeto serializable } Esto conecta directamente con el modelo mental de caching en App Router: los datos que viajan entre server y client tienen restricciones que el código TypeScript no refleja. Si querés profundizar en esas restricciones desde el lado de React, el post sobre React 19 Server Components y caching cubre el modelo mental que falta en la documentación. Falla #3: El error de Zod que llega al cliente sin sanitizar La tercera falla es de seguridad y es la más fácil de introducir. Cuando zod.parse() falla, lanza un ZodError con un array de issues. Cada issue tiene path, message y code. Si capturas ese error en un Server Action y lo mandás directo al cliente sin procesarlo, le estás enviando la estructura interna de validación completa, incluyendo los nombres de los campos internos, los paths anidados y a veces mensajes que revelan lógica de negocio. // ❌ Patrón inseguro — el ZodError completo viaja al cliente "use server" import { userSchema } from "@/lib/schemas/user" export async function createUser(formData: FormData) { try { const data = userSchema.parse(Object.fromEntries(formData)) // ... } catch (error) { // ← si es un ZodError, esto expone paths internos al cliente return { error: error instanceof Error ? error.message : "Error desconocido" } } } ZodError.message es un JSON serializado con todos los issues. En un campo de contraseña o en un campo que valida contra una lista interna de valores prohibidos, eso puede filtrar información. El patrón correcto es usar safeParseAsync o safeParse y construir explícitamente el mensaje de error que querés que el cliente reciba: // ✅ Patrón seguro — errores sanitizados "use server" import { userSchema } from "@/lib/schemas/user" export async function createUser(formData: FormData) { const result = userSchema.safeParse(Object.fromEntries(formData)) if (!result.success) { // Construís exactamente lo que querés exponer const publicErrors = result.error.issues.map((issue) => ({ field: issue.path.join("."), // ¿querés exponer el path? decidís vos message: issue.message, // ¿el mensaje es seguro para el cliente? })) return { success: false, errors: publicErrors } } // data está tipada correctamente const data = result.data // ... return { success: true } } Este patrón también hace más fácil internacionalizar los mensajes de error, porque tenés control explícito sobre lo que se manda. Checklist de decisión: cómo compartir schemas entre contextos Antes de importar un schema desde un nuevo contexto, pasalo por estas preguntas: ¿El schema va a correr en Edge Runtime (middleware)? → ¿Tiene .refine() o .transform() que llame a funciones externas? → SI: separá en un schema edge-safe con solo validación estructural → NO: podés reutilizarlo con cuidado ¿El schema va a ser retornado desde un Server Action al cliente? → ¿Tiene .transform() que produce Map, Set, Date compleja, instancia de clase? → SI: aplicá el transform en el servidor, retorná el tipo base serializable → NO: el schema base puede ser compartido ¿Los errores de validación van a llegar al cliente? → ¿Usás .parse() y catcheás el error directamente? → SI: reemplazá por .safeParse() y construí la respuesta de error manualmente → NO: revisá que los mensajes de error no expongan lógica interna La regla de oro: el schema compartido solo debería tener validaciones estructurales puras —tipos, longitudes, formatos, obligatoriedad. Las validaciones que dependen de lógica de negocio, acceso a base de datos o APIs de Node.js van en schemas de server exclusivos. Límites: qué no se puede concluir sin más evidencia Este análisis está basado en la documentación oficial de Zod y Next.js, y en patrones reproducibles. Lo que no podés asumir a partir de esto: Que estos tres modos de falla son los únicos. En un stack con tRPC, Remix, o Edge Functions de Vercel las restricciones pueden diferir. Que el edge runtime de Next.js 16 y el de Vercel son idénticos en todos los casos. La documentación de Next.js y la de Vercel Edge Runtime tienen algunos matices propios. Que .transform() siempre rompe la serialización en Server Actions. Transforms que producen tipos primitivos, arrays de primitivos o plain objects funcionan. El problema es específico de tipos no-serializables por el protocolo de React Server Components. Si querés verificar el comportamiento en tu propio stack, el experimento reproducible es simple: creá un schema con un .transform() que retorne un new Set(), usalo en un Server Action, e inspeccioná el error en la consola del navegador. El mensaje de Next.js es bastante claro sobre qué no puede serializar. FAQ sobre Zod en producción con Next.js 16 ¿Puedo usar el mismo schema de Zod en el cliente y en el servidor? Sí, si el schema tiene solo validaciones estructurales puras (tipos, formatos, longitudes). El problema aparece cuando agregás .refine() con lógica que depende de APIs de Node.js o .transform() que produce tipos no serializables. ¿Zod funciona en el Edge Runtime de Next.js? El core de Zod sí. Los problemas aparecen cuando los .refine() o .transform() dentro del schema llaman a código que usa APIs exclusivas de Node.js (como crypto, fs o buffer). Zod en sí mismo no usa esas APIs en su core. ¿Cuál es la diferencia entre parse() y safeParse() para Server Actions? parse() lanza un ZodError en caso de falla, que hay que capturar con try/catch. safeParse() retorna { success: true, data } o { success: false, error } sin lanzar una excepción. Para Server Actions, safeParse() te da control explícito sobre qué errores mandás al cliente, que es la forma segura de manejarlo. ¿Puedo poner validaciones de base de datos dentro de un .refine() de Zod? Podés, pero solo en schemas de server (nunca en schemas que corran en edge o cliente). Un .refine() async que consulta la base de datos para verificar unicidad de email es un patrón válido en un Server Action en Node.js. En edge runtime o en el cliente, eso no tiene sentido ni es posible. ¿Cómo sabés si un transform va a romper la serialización en un Server Action? La regla práctica: si el tipo resultante del transform es Map, Set, una instancia de clase con métodos, o cualquier cosa que no sea serializable a JSON puro, no lo retornés directo desde el Server Action. Podés verificarlo en la documentación oficial de Next.js sobre serialización en Server Actions. ¿Vale la pena tener schemas separados por contexto si complica el proyecto? La separación solo es necesaria donde hay diferencias reales: si no tenés middleware con lógica de validación, no necesitás schemas de edge. La regla mínima es: un schema base compartido con validaciones estructurales, y schemas extendidos con .refine() / .transform() solo donde el contexto lo permite. Postura final y próximo paso Zod no está roto. El modelo de "definí una vez" funciona perfectamente para validaciones estructurales puras que no dependen del entorno de ejecución. El problema es que en Next.js 16 con Server Actions y middleware, ese entorno de ejecución cambia de forma silenciosa y TypeScript no te avisa. Lo que sí compro: Zod como fuente de verdad de los tipos y la estructura de los datos. Lo que no compro sin pensar: usar el mismo schema con transforms y refinements complejos en los tres contextos sin separar responsabilidades. El patrón que funciona es simple: schema base compartido con validaciones estructurales, schemas de server para lógica con Node.js, y safeParse() siempre que los errores puedan viajar al cliente. No es overhead —es documentar explícitamente qué contrato pertenece a qué capa. El próximo paso concreto: si tenés un proyecto con Zod en Next.js 16, buscá todos los lugares donde importás un schema que tiene .refine() o .transform(), y verificá en qué contexto corre. Tres minutos de grep pueden ahorrarte un error de runtime que solo aparece en producción. Fuente original: Zod Documentation: https://zod.dev/ Next.js Server Actions Docs: https://nextjs.org/docs/app/building-your-application/data-fetching/server-actions-and-mutations Este artículo fue publicado originalmente en juanchi.dev

9 hours ago