SSRF防护与出口治理（IP黑白/协议限制/元数据防护）最佳实践

背景与价值SSRF常通过不受控的网络请求访问内部资源与云平台元数据端点。严格的协议、地址与端口治理可有效阻断攻击链。统一规范协议白名单：默认仅允许 `https`。地址黑名单：阻断私网、环回、链路本地与多播保留段。元数据防护：阻断云平台元数据域与地址。端口策略：仅允许业务需要的端口集合，默认 443。核心实现IPv4数值化与CIDR判定function ipv4ToInt(ip: string): number {

const m = ip.match(/^(\d{1,3})\.(\d{1,3})\.(\d{1,3})\.(\d{1,3})$/)

if (!m) return -1

const n = m.slice(1).map(Number)

for (const x of n) if (x < 0 || x > 255) return -1

return ((n[0] << 24) >>> 0) + (n[1] << 16) + (n[2] << 8) + n[3]

}

function parseCidr(cidr: string): { base: number; mask: number } | null {

const m = cidr.match(/^([0-9.]+)\/(\d{1,2})$/)

if (!m) return null

const base = ipv4ToInt(m[1])

const p = Number(m[2])

if (base < 0 || p < 0 || p > 32) return null

const mask = p === 0 ? 0 : (~0 << (32 - p)) >>> 0

return { base, mask }

}

function inCidr(ip: string, cidr: string): boolean {

const v = ipv4ToInt(ip)

const c = parseCidr(cidr)

if (v < 0 || !c) return false

return (v & c.mask) === (c.base & c.mask)

}

保留与私网段集合const blockedCidrs = [

'10.0.0.0/8',

'172.16.0.0/12',

'192.168.0.0/16',

'127.0.0.0/8',

'169.254.0.0/16',

'224.0.0.0/4'

]

const metadataHosts = new Set([

'169.254.169.254',

'metadata.google.internal'

])

协议与端口白名单const allowProtocols = new Set(['https'])

const allowPorts = new Set([443])

function protocolAllowed(u: URL): boolean { return allowProtocols.has(u.protocol.replace(':','')) }

function portAllowed(u: URL): boolean { const p = u.port ? Number(u.port) : (u.protocol === 'https:' ? 443 : 80); return allowPorts.has(p) }

出口校验function hostBlocked(host: string): boolean {

if (metadataHosts.has(host)) return true

if (/^\d+\.\d+\.\d+\.\d+$/.test(host)) {

for (const c of blockedCidrs) if (inCidr(host, c)) return true

}

if (host === 'localhost' || host.endsWith('.local')) return true

return false

}

function validateOutbound(url: string): boolean {

let u: URL

try { u = new URL(url) } catch { return false }

if (!protocolAllowed(u)) return false

if (!portAllowed(u)) return false

if (hostBlocked(u.hostname)) return false

return true

}

落地建议全链路使用 `https`，并在服务端与代理统一执行协议与端口白名单。阻断到私网、环回、链路本地与多播段的所有请求，覆盖IP字面量与保留域名。明确阻断云平台元数据端点与DNS劫持后的等效地址。将出口治理置于反向代理或服务网关，必要时进行域名解析后再判定归属网段。验证清单请求协议是否命中白名单，端口是否符合策略。目标主机是否在私网、环回或链路本地网段。是否命中云平台元数据端点与保留域名。