极客观点
项目管理
HarmonyOS
问题场景
例如http://axxx.com/?url=http://b.com/
想获取http://b.com/下的网页内容,则需要向该域名发起请求
但是需要避免访问到内网
对b.com域名进行ip解析的时候是外网,接着真正请求b.com的时候解析的ip变成了内网
这样利用了这个时间差就构造了一个ssrf攻击的场景
涉及dns rebinding
目前想到的一种最暴力的就是添加白名单的方式
希望能有大佬分享一下解决方案,不胜感激
目前是用nodejs在对这个ssrf做防御,有没有可能在真正发送请求的时候拿到域名对应请求的ip呢
问题已解决,有个req.socket.remoteAddress字段可以判断请求的地址ip