Node.js 网络请求

1.4.1 【必须】限定访问网络资源地址范围

• 应固定程序访问网络资源地址的协议、域名、路径范围。

• 若业务需要，外部可指定访问网络资源地址，应禁止访问内网私有地址段及域名。

// 以RFC定义的专有网络为例，如有自定义私有网段亦应加入禁止访问列表。
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
127.0.0.0/8

1.4.2 【推荐】请求网络资源，应加密传输

• 应优先选用 https 协议请求网络资源

关联漏洞：高风险 - SSRF，高风险 - HTTP劫持