python-3.x 应用程序可以安全地命中从代码库到任何用户指定的url的get请求

9jyewag0  于 2023-03-04  发布在  Python
关注(0)|答案(1)|浏览(89)

想确认一个应用程序使用python中的requests模块向任何用户指定的url发出get请求是否安全。是否有任何安全问题,以及可遵循的最佳实践。我们在get调用上应用了10秒的超时。
谢谢你,

o7jaxewo

o7jaxewo1#

基本上不安全,有所谓的Server-side Request Forgery (SSRF)攻击。
所以至少你的服务器可能会面临IP地址、User-Agent(Python Requests库添加的默认头文件)泄露的风险。如果你的基础设施中有漏洞,那么这将使攻击者更接近成功。
请确保您仔细处理响应,并使用强验证。从单独的IP地址发出请求和/或混淆User-Agent标头可能是一个好主意。
我会说,您的安全措施的严重性应该与您存储的数据的敏感程度相对应。
查看服务器端请求伪造预防备忘单以了解更多详细信息。

相关问题