深入解析cursor-security-rules项目中的SSRF防护规则

什么是SSRF攻击

SSRF（Server-Side Request Forgery，服务器端请求伪造）是一种安全漏洞，攻击者能够诱使服务器向内部系统发起非预期的请求。这种攻击可能导致敏感数据泄露、内部服务探测，甚至内部网络入侵等严重后果。

cursor-security-rules项目的SSRF防护方案

cursor-security-rules项目提供了一套全面的SSRF防护规则，适用于所有执行出站网络请求的代码，无论使用何种编程语言或框架。这些规则旨在帮助开发者在代码层面预防SSRF漏洞。

核心防护规则详解

1. 禁止用户输入直接控制目标URL

规则原理：直接使用未经处理的用户输入构造请求URL是SSRF攻击的主要入口点。

不安全示例：

# 危险！用户可控制请求目标
requests.get(request.args["url"])

安全实践：

• 使用白名单机制，只允许访问预定义的、可信的URL
• 如果必须使用用户输入，应进行严格的验证和过滤

2. 阻止访问私有/内部IP地址范围

规则原理：防止攻击者利用SSRF探测或攻击内部网络资源。

禁止访问的范围包括：

• 本地地址：localhost、127.0.0.1
• 私有地址段：
  • 169.254.0.0/16（链路本地）
  • 192.168.0.0/16
  • 10.0.0.0/8
  • 172.16.0.0/12
• 其他保留地址段

实现建议：

• 在发起请求前检查目标IP是否属于禁止范围
• 考虑使用专门的IP地址验证库

3. 解析并验证主机名

规则原理：防止攻击者通过DNS重绑定等技术绕过防护。

安全实践：

1. 首先解析主机名获取IP地址
2. 验证解析后的IP地址是否允许访问
3. 确保DNS解析结果不会被篡改

4. 限制允许的协议和端口

规则原理：减少攻击面，防止利用非标准协议进行攻击。

允许的协议：

• HTTP (端口80)
• HTTPS (端口443)

禁止的协议：

• file://
• gopher://
• ftp://
• 其他自定义协议处理器

实现建议：

• 显式指定协议，不要使用协议相对URL
• 验证端口号在允许范围内

5. 禁止自动转发授权头信息

规则原理：防止内部认证信息通过SSRF请求泄露。

安全实践：

• 默认不转发任何认证头信息
• 如需转发，必须经过明确的范围界定和安全审计
• 特别注意Cookie、Authorization、X-Auth-Token等敏感头

规则实施的最佳实践

1. 代码生成注意事项：

   • 自动生成的代码也必须遵守这些规则
   • 如果规则被违反，必须添加注释说明问题并提供修正建议

2. 错误处理：

   • 当规则被触发时，应提供清晰的错误信息
   • 错误信息应帮助开发者理解问题本质和修复方法

3. 防御深度：

   • 建议在多个层面实施防护（应用层、网络层等）
   • 不要仅依赖单一防护措施

实际开发中的应用

在实际开发中，建议将这些规则集成到：

• 代码审查流程
• 静态代码分析工具
• CI/CD管道中的安全检查步骤

通过多层次的防护，可以显著降低SSRF攻击的风险，保护系统和数据安全。