漏洞总结 漏洞概述 Angular SSR(服务端渲染)在处理代理请求头时存在安全隐患。默认情况下,Angular 会拦截并触发 CSR(客户端渲染)降级,以防止潜在的 SSR 劫持攻击。然而,当生产环境代理发送 等标准代理头时,会导致 SSR 意外降级,影响性能。 影响范围 使用 Angular SSR 的应用 生产环境中使用代理服务器(如 Nginx、Cloudflare 等)的场景 依赖 、 、 等标准代理头的服务 修复方案 引入 配置选项,允许开发者显式控制哪些代理头在 SSR 中被信任。 配置示例 行为说明 默认行为:当 未定义时,允许 和 ,拦截其他 头并触发 CSR 降级。 设为 :信任所有代理头。 设为 :忽略并剥离所有代理头。 设为字符串数组:仅信任数组中指定的代理头。 代码变更 新增 中的验证逻辑 修改 和 中的请求头处理逻辑 注意事项 该功能为安全增强,但属于破坏性变更,需明确公告 建议在生产环境中根据实际需求配置 ,避免不必要的 SSR 降级