Node.js 网络请求
1.4.1 【必须】限定访问网络资源地址范围
- 应固定程序访问网络资源地址的
协议
、域名
、路径
范围。
- 若业务需要,外部可指定访问网络资源地址,应禁止访问内网私有地址段及域名。
// 以RFC定义的专有网络为例,如有自定义私有网段亦应加入禁止访问列表。
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
127.0.0.0/8
1.4.2 【推荐】请求网络资源,应加密传输
- 应优先选用 https 协议请求网络资源
关联漏洞:高风险 - SSRF,高风险 - HTTP劫持