获取服务器端请求伪造 (SSRF)(CWE ID 918)restTemplate.getForEntity
Getting Server-Side Request Forgery (SSRF) (CWE ID 918) restTemplate.getForEntity
我正在使用 restTemplate 在微服务架构中进行同步服务间通信。
当我们完成 Veracode 扫描后,我们将在 getForEntity 方法中得到 Server-Side Request Forgery (SSRF) (CWE ID 918)。
restTemplate.getForEntity(URL, Entity.class);
不确定为什么我会遇到这个 SSRF 问题?
可能的解决方法是什么?
我已经通过在 restTemplate 中使用它之前使用 UriComponents 构建 URL 解决了这个问题。
UriComponents uriComponents = UriComponentsBuilder.newInstance()
.scheme("http").host("www.yourdomain.com").path("/yourPath").build();
请参考此 link 以使用 UriComponents https://www.baeldung.com/spring-uricomponentsbuilder
我正在使用 restTemplate 在微服务架构中进行同步服务间通信。
当我们完成 Veracode 扫描后,我们将在 getForEntity 方法中得到 Server-Side Request Forgery (SSRF) (CWE ID 918)。
restTemplate.getForEntity(URL, Entity.class);
不确定为什么我会遇到这个 SSRF 问题?
可能的解决方法是什么?
我已经通过在 restTemplate 中使用它之前使用 UriComponents 构建 URL 解决了这个问题。
UriComponents uriComponents = UriComponentsBuilder.newInstance()
.scheme("http").host("www.yourdomain.com").path("/yourPath").build();
请参考此 link 以使用 UriComponents https://www.baeldung.com/spring-uricomponentsbuilder