想确认一个应用程序使用python中的requests模块向任何用户指定的url发出get请求是否安全。是否有任何安全问题,以及可遵循的最佳实践。我们在get调用上应用了10秒的超时。谢谢你,
o7jaxewo1#
基本上不安全,有所谓的Server-side Request Forgery (SSRF)攻击。所以至少你的服务器可能会面临IP地址、User-Agent(Python Requests库添加的默认头文件)泄露的风险。如果你的基础设施中有漏洞,那么这将使攻击者更接近成功。请确保您仔细处理响应,并使用强验证。从单独的IP地址发出请求和/或混淆User-Agent标头可能是一个好主意。我会说,您的安全措施的严重性应该与您存储的数据的敏感程度相对应。查看服务器端请求伪造预防备忘单以了解更多详细信息。
1条答案
按热度按时间o7jaxewo1#
基本上不安全,有所谓的Server-side Request Forgery (SSRF)攻击。
所以至少你的服务器可能会面临IP地址、User-Agent(Python Requests库添加的默认头文件)泄露的风险。如果你的基础设施中有漏洞,那么这将使攻击者更接近成功。
请确保您仔细处理响应,并使用强验证。从单独的IP地址发出请求和/或混淆User-Agent标头可能是一个好主意。
我会说,您的安全措施的严重性应该与您存储的数据的敏感程度相对应。
查看服务器端请求伪造预防备忘单以了解更多详细信息。