喻勇祥 4e4ef0405b 🔒 增强安全防护：防止 SSRF 攻击和 Token 泄露 ...

后端安全增强：
- 新增 SSRF 防护机制，验证 SFTP 目标地址
- 添加 isPrivateIp() 函数，检测并阻止连接内网地址
- 添加 validateSftpDestination() 函数，验证主机名和端口
- 支持 DNS 解析和 IP 地址验证
- 添加 SFTP 连接超时配置（默认8秒）
- 移除 URL 参数中的 token 认证，只接受 Header 或 HttpOnly Cookie

前端安全改进：
- 移除下载链接中的 token 参数
- 改为依赖同域 Cookie 进行身份验证
- 避免 token 在 URL 中暴露，防止日志泄露

环境变量配置：
- ALLOW_PRIVATE_SFTP=true 可允许连接内网（测试环境）
- SFTP_CONNECT_TIMEOUT 可配置连接超时时间

🤖 Generated with [Claude Code](https://claude.com/claude-code)

Co-Authored-By: Claude <noreply@anthropic.com>

2025-11-24 20:07:34 +08:00

73 KiB

Raw Blame History

View Raw