golang如何实现SSRF防护策略_golang SSRF防护策略实现方案

SSRF 是服务端请求伪造，Go 因 net/http 默认不限制 URL 而易受攻击；防护需三步：解析 URL、校验协议（仅 http/https）、检查主机（禁用私有 IP 和非白名单域名）。SSRF 是什么，为什么 Go 服务特别容易中招SSRF（Server-Side Request Forgery）不是用户直接攻击你的接口，而是诱使你的 Go 服务自己去“访问不该访问的地方”——比如 http://127.0.0.1:8080/admin 或内网 http://10.0.1.5:3306。Go 的 net/http 默认不做任何 URL 限制，http.Get(req.URL) 一调就发，只要传进来的是合法 URL，它就真去连。而很多业务场景天然需要“代理请求”或“URL 回调校验”，比如：富文本图片自动下载、Webhook 地址验证、OAuth 第三方回调重定向地址解析……这些地方一旦对用户输入的 URL 缺乏白名单或协议/域名约束，SSRF 就几乎必然发生。用 net/url + net/http 做基础校验的硬核写法别依赖第三方中间件——SSRF 防护必须在业务逻辑入口做，且要细粒度控制。核心是三步：解析 URL → 检查协议 → 校验主机（含 IP 归属）。下面这段是生产可用的最小防护骨架：func isAllowedURL(rawURL string) error {u, err := url.Parse(rawURL)if err != nil {return fmt.Errorf("invalid URL format")}if u.Scheme != "https" && u.Scheme != "http" {return fmt.Errorf("disallowed scheme: %s", u.Scheme)}// 解析 host，支持域名和 IPv4/IPv6host, port, _ := net.SplitHostPort(u.Host)if host == "" {host = u.Host}ip := net.ParseIP(host)if ip != nil {if ip.IsLoopback() || ip.IsPrivate() || ip.IsUnspecified() {return fmt.Errorf("disallowed private/loopback IP: %s", host)}}// 白名单域名（建议从配置加载，而非硬编码）allowedHosts := map[string]bool{"api.example.com": true, "cdn.example.net": true}if _, ok := allowedHosts[host]; !ok {return fmt.Errorf("host not in allowlist: %s", host)}return nil}常见错误现象：url.Parse 后只检查 u.Host，却忽略 u.Scheme 被设为 file:// 或 ftp://；或用 strings.HasPrefix(u.Host, "127.") 这种字符串匹配，漏掉 127.0.0.1:8080 或 IPv6 的 ::1。gorilla/handlers.CORS 不能防 SSRF，但 SameSite 和 Referer 可辅助判断CORS 是浏览器行为，跟 SSRF 完全无关——攻击者根本不用浏览器，直接 curl -X POST 构造请求即可绕过所有前端限制。真正有用的辅助手段只有两个：Referer 头校验（需确认你允许的来源可信）和 SameSite=Strict Cookie 设置（防止跨站带认证态发起 SSRF 请求）。但注意：SameSite 对纯 API 场景无效，且不能替代 URL 白名单。立即学习“go语言免费学习笔记（深入）”； RedClaw 百度推出的手机端万能AI Agent助手