关键漏洞信息 HTTP Redirects and Timeouts - Saleor默认禁用传出连接的HTTP重定向,并设置严格的超时值(通常<20s)。 - 目的是防止可能由内部人员发起的拒绝服务(DoS)攻击。 - 超时设置不能动态覆盖,但可以在 中进行修改。 IP Address Filtering (SSRF Protection) - Saleor Core默认拒绝任何传出到私有和回环IP地址的流量。 - 防止恶意内部人员访问内部资源。 - 实现细节包括IP地址固定和每个请求的IP地址验证。 - 可通过环境变量配置相关设置,例如: Restricted File Uploads - Saleor限制在 和 等突变中可上传的文件类型。 - 默认只允许流行文件格式,可使用 环境变量放松限制。 - 建议使用 以减少风险。 EditorJS & HTML Cleaning - Saleor使用 和 库对富文本字段中的不受信任HTML输入进行清理。 - 可通过环境变量配置相关设置(如允许的HTML属性、属性值、链接rel属性值等)以降低XSS攻击风险。 PCI DSS - 提供与支付相关的数据流图。