如何在 NodeJS 中识别提供的主机名/URL 是私有的

Question

我正在寻找一种方法/NPM 包来验证输入的主机名作为 REST 端点的输入，然后将其存储在数据库中。 这是避免 SSRF 攻击所必需的。 到目前为止，我只是根据正则表达式过滤掉主机名。如果我发现主机名以 IP 开头，我会阻止它，但在某些情况下，此修复不会像环回地址那样起作用。我找不到任何执行所有这些验证的 NPM 库。有一些软件包，但他们期望 IP 作为输入，并且我已经在过滤。我什至从正则表达式转移到 ipaddr.js 包，因为正则表达式变得复杂且难以理解。

任何人都可以为我指明如何验证私有/环回地址的 URL 的正确方向吗？

Answer 1

如果您的一台机器要向用户定义的 URL 发出请求，并且您希望避免人们在您的专用网络中输入地址，则需要首先解析主机名并找出目标 IP。

仅通过查看主机名无法知道主机名是否针对私有地址，因为我可以注册“blabla.com”并将其解析为 10.0.0.1。

对于这个东西的最佳实践是制作一个与您的专用网络完全隔离的专用盒子来执行所有请求。