Axios 安全漏洞修复总结 漏洞概述 Axios v0.x 版本存在安全加固问题,主要涉及: 出站请求头值未正确清理(未去除无效字节、CR/LF、边界空白字符) 代理绕过逻辑存在缺陷(未正确处理 localhost、loopback、尾随点、括号 IPv6 等) 可能导致头部注入攻击或 Node.js "Invalid character in header content" 错误 影响范围 所有使用 Axios v0.x 版本的应用 涉及以下场景: - 自定义请求头包含特殊字符 - 使用 NO_PROXY / no_proxy 环境变量 - 代理配置中包含 localhost、loopback、IPv6 地址、尾随点域名等 修复方案 1. 添加 函数: - 在发送前清理所有请求头值 - 移除无效字节、CR/LF、边界空白字符 - 支持数组类型 2. 增强 逻辑: - 支持通配符、显式端口、尾随点、括号 IPv6 - 使用 Node.js 适配器时跳过代理 - 正确解析端口和 IPv6 地址 3. 代理检查前置: - 在解析环境变量代理 URL 前执行代理检查 - 更新代理目标构建逻辑以使用 4. 测试覆盖: - 添加单元测试覆盖 和 - 验证浏览器和 Node 适配器测试 - 确保代理不用于 localhost/loopback 变体并尊重 NO_PROXY POC/利用代码 页面中未提供具体的 POC 代码或 exploit 代码。 --- 注:此 PR 为从 v1 分支向后移植的安全修复,无公开 API 变更。