Node.js 網(wǎng)絡(luò)請求

2021-06-01 09:51 更新

1.4.1 【必須】限定訪問網(wǎng)絡(luò)資源地址范圍

  • 應(yīng)固定程序訪問網(wǎng)絡(luò)資源地址的協(xié)議、域名、路徑范圍。

  • 若業(yè)務(wù)需要,外部可指定訪問網(wǎng)絡(luò)資源地址,應(yīng)禁止訪問內(nèi)網(wǎng)私有地址段及域名。

// 以RFC定義的專有網(wǎng)絡(luò)為例,如有自定義私有網(wǎng)段亦應(yīng)加入禁止訪問列表。
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
127.0.0.0/8

1.4.2 【推薦】請求網(wǎng)絡(luò)資源,應(yīng)加密傳輸

  • 應(yīng)優(yōu)先選用 https 協(xié)議請求網(wǎng)絡(luò)資源

關(guān)聯(lián)漏洞:高風(fēng)險(xiǎn) - SSRF,高風(fēng)險(xiǎn) - HTTP劫持

以上內(nèi)容是否對您有幫助:
在線筆記
App下載
App下載

掃描二維碼

下載編程獅App

公眾號
微信公眾號

編程獅公眾號