Axios项目中Server-Side Request Forgery漏洞分析与修复方案

问题背景

Axios是一个广泛使用的基于Promise的HTTP客户端，适用于浏览器和Node.js环境。近期在Axios项目中发现了一个Server-Side Request Forgery（SSRF，服务器端请求伪造）安全问题，该问题编号为CVE-2024-39338。这个问题主要影响服务器端使用Axios的场景，可能导致攻击者构造异常请求访问内部系统或获取数据。

问题原理

该问题的核心在于Axios处理协议相对URL（protocol-relative URLs）时的行为异常。协议相对URL是指以"//"开头的URL，它会继承当前页面的协议（如http或https）。在浏览器环境中，这种设计是合理的，但在服务器端环境中却存在潜在风险。

具体来说，当Axios在Node.js环境中运行时，如果开发者使用baseURL配置并传入一个协议相对URL作为请求路径时，Axios会错误地将该URL解析为绝对URL，而不是相对于baseURL的路径。这导致请求可能被重定向到非预期的外部服务器。

问题验证

考虑以下代码示例：

const axios = require('axios');

const apiClient = axios.create({
  baseURL: 'https://userapi.example.com',
});

// 正常情况下开发者期望的userId
// const userId = '12345';

// 可能注入的异常值
const userId = '/google.com';

apiClient.get(`/${userId}`).then(response => {
  console.log(response.request.res.responseUrl);
});

在修复前的版本中，这段代码会输出http://www.google.com/，而不是开发者预期的https://userapi.example.com//google.com。这表明请求被重定向到了非预期的外部服务器。

技术分析

问题的根源在于Axios内部URL处理逻辑。在Node.js环境中，当处理协议相对URL时：

1. Axios将baseURL和相对路径组合成完整路径
2. 然后使用Node.js的URL类解析这个路径
3. 由于协议相对URL被视为绝对URL，baseURL被忽略
4. Node.js的URL类会基于当前环境（通常是http://localhost）补全协议

这种处理方式在浏览器环境中是合理的，因为浏览器有明确的当前协议上下文。但在服务器端环境中，这种自动补全会导致潜在风险。

修复方案

Axios团队通过以下方式解决了该问题：

1. 修改了URL解析逻辑，不再将协议相对URL视为绝对URL
2. 确保所有路径都相对于baseURL进行解析
3. 在服务器端环境中，明确拒绝处理协议相对URL

修复后的版本（1.7.4及以上）会正确处理上述示例，确保请求被发送到https://userapi.example.com//google.com而不是外部服务器。

开发者建议

对于使用Axios的开发者，建议采取以下措施：

1. 立即升级到Axios 1.7.4或更高版本
2. 对所有用户输入进行严格验证和过滤
3. 避免直接将用户输入拼接到URL路径中
4. 在服务器端代码中，明确指定完整的URL或确保路径是相对路径
5. 实施网络层防护，限制服务器对外部网络的访问

总结

这个问题提醒我们，在处理网络请求时需要特别注意URL解析的边界情况。即使是广泛使用的成熟库也可能存在潜在的问题。开发者应当保持依赖库的更新，并理解所使用工具的内部工作原理，才能构建更可靠的应用程序。

对于Axios用户来说，及时升级到修复版本是当前最紧迫的任务，同时也要审视自己的代码中是否存在类似的URL拼接模式，从根本上减少潜在风险。