我想制作一个书签应用程序。它将自动从用户URL输入中获取数据。我知道,如果我仅发送任何用户输入的URL,就会导致SSRF。我想我可以使用一个外部HTTP代理来防止GET请求到本地主机。我应该在哪里放置代理?像Dante这样的HTTP代理可以连接到本地主机吗?
答案 0 :(得分:1)
为防止Web应用程序中出现SSRF漏洞,强烈建议使用允许域和协议的白名单,Web服务器可从中获取远程资源。同样,根据经验,应该避免在可以代表服务器发出请求的函数中直接使用用户输入。并且有多种方法可以在应用程序配置中或使用WAF。