关键漏洞信息 HTTP Redirects and Timeouts Saleor 默认禁用 outgoing 连接的 HTTP 重定向,并设置严格的超时值(通常 <20s)。 设计目的是为了防止内部人员发起的潜在 DDoS 攻击。 若不采取此类措施,恶意员工可能会在恶意端点上创建无限重定向循环,耗尽服务器资源。 超时设置不能动态覆盖,但可以在 文件中修改。 IP Address Filtering (SSRF Protection) Saleor 默认拒绝任何去往私有和回程 IP 地址的出站流量。 这种行为防止恶意员工访问内部资源,这可能导致对您在内部网络中部署资源的未授权访问,甚至获得立足点(例如通过横向移动获取更多权限)。 IP 地址过滤功能默认启用,可以通过环境变量 控制。 默认情况下,不允许出站流量去往回程地址,可以通过环境变量 控制。 当前仅支持“block-all”或“allow-all”。 Restricted File Uploads Saleor 默认限制可以上传的文件类型,以防止员工上传 .html、.svg 或 .exe 等可疑文件。 可以通过 环境变量指定其他允许的 MIME 类型。 EditorJS & HTML Cleaning Saleor 在富文本字段中接受 HTML,但通过 和 清理不受信任的 HTML 输入,防止 XSS 攻击。 可以通过环境变量配置清理器,例如 、 、 等。