1.6 网络请求

1.6.1 【必须】限定访问网络资源地址范围

当程序需要从用户指定的URL地址获取网页文本内容加载指定地址的图片进行下载等操作时,需要对URL地址进行安全校验:

  1. 只允许HTTP或HTTPS协议

  2. 解析目标URL,获取其host

  3. 解析host,获取host指向的IP地址转换成long型

  4. 检查IP地址是否为内网IP

  1. # 以RFC定义的专有网络为例,如有自定义私有网段亦应加入禁止访问列表。
  2. 10.0.0.0/8
  3. 172.16.0.0/12
  4. 192.168.0.0/16
  5. 127.0.0.0/8
  1. 请求URL

  2. 如果有跳转,跳转后执行1,否则对URL发起请求