关键漏洞信息 漏洞描述 问题标题: 问题编号: 描述: 当设置的 超过限制时,下载并未停止,继续下载剩余数据直到完成,导致潜在的安全风险。 预期行为与实际行为 预期行为: - 脚本在打印错误消息后立即退出。 - 下载数据不超过2KB。 实际行为: - 脚本打印错误消息后,继续下载剩余的52MB数据,直到连接断开。 上下文 Axios版本: 环境: , 提出的解决方案 在达到 限制时,关闭响应流。 在客户端代码中,在捕获处理程序中销毁响应流。 安全影响 漏洞类型: 安全风险: 下载不受信任资源时,恶意用户可能通过控制远程资源引发拒绝服务。 相关讨论 提议将此行为作为默认行为或在文档中添加。 漏洞被SourceClear视为安全漏洞。 GitHub 安全警报针对 Axios <= 0.18.0 版本触发。 时间线 打开问题: 关闭问题: 影响范围 该问题影响 Axios 在 Node.js 服务器环境中的使用,浏览器环境下影响较小。 其他信息 讨论中提到 Axios 安全问题的多个相关议题和仓库。 提出者和参与人员 提起问题: 参与讨论: , 等 问题状态 当前状态: