关键信息 漏洞类型 SSRF(服务器端请求伪造)漏洞 漏洞描述 问题: 文件中的 函数使用 来比较 URL 起源,但 包含 组件(如 ),攻击者可以构造如下URL绕过SSRF保护: 这将导致 ,从而无法与黑名单中的起源头 匹配,从而绕过SSRF保护。 修复措施 1. 更改内容: - 将 替换为 ,包括: - 去除 —— 主机名从不包含 或 。 - 保留端口感知匹配 —— 仍然正确比较带有显式端口的来源。 - 保持现有的验证检查 —— 保留 空性保护以拒绝格式错误的URL。 2. 修复代码示例: 复现步骤 1. 从 导入 。 2. 构造恶意URL,并检索 的值。 测试计划 验证 处理不同的 URL 场景,确保修复后的代码行为正确: - 不同方案和主机组合的 URL。 - 包含或不含显式端口的 URL。 - 非法输入应引发 。