想要确认应用程序使用 python 中的请求模块向任何用户指定的 url 发出获取请求是否安全。 是否存在与此相关的任何安全问题,以及可遵循的最佳实践。 我们在 get 调用上应用了 10 秒超时。
谢谢你,
基本上是不安全的。有所谓的服务器端请求伪造(SSRF)攻击。
所以至少你的服务器可能面临 IP 地址、用户代理(Python 请求库添加的默认标头)泄露的风险。如果您的基础设施中的某些东西容易受到攻击,那么这将使攻击者更接近成功。
确保您仔细处理响应,并进行有力的验证。从单独的 IP 地址发出请求和/或混淆 User-Agent 标头可能是个好主意。
我会说你的安全措施的严重程度应该与你存储的数据的敏感程度相对应。