Node.js 網(wǎng)絡(luò)請(qǐng)求

1.4.1 【必須】限定訪問網(wǎng)絡(luò)資源地址范圍

• 應(yīng)固定程序訪問網(wǎng)絡(luò)資源地址的協(xié)議、域名、路徑范圍。

• 若業(yè)務(wù)需要，外部可指定訪問網(wǎng)絡(luò)資源地址，應(yīng)禁止訪問內(nèi)網(wǎng)私有地址段及域名。

// 以RFC定義的專有網(wǎng)絡(luò)為例，如有自定義私有網(wǎng)段亦應(yīng)加入禁止訪問列表。
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
127.0.0.0/8

1.4.2 【推薦】請(qǐng)求網(wǎng)絡(luò)資源，應(yīng)加密傳輸

• 應(yīng)優(yōu)先選用 https 協(xié)議請(qǐng)求網(wǎng)絡(luò)資源

關(guān)聯(lián)漏洞：高風(fēng)險(xiǎn) - SSRF，高風(fēng)險(xiǎn) - HTTP劫持