原文链接:http://www.dubby.cn/detail.html?id=9076
1.现象
这是内部监控系统记录下这个请求的耗时:
紧接着监控系统开始告警:
为什么呢?
因为有这么一个接口,我简单描述一下他干了什么吧:他接受一个图片的url,然后在服务端请求这个图片,读出字节后再输出给response。
2.危害
这个接口可能并没有什么意义,但是在某些场景下确实有存在的必要。在此不讨论它存在的意义,只说说他带来的危害。
1、可以通过这个接口来访问内网资源
这个很好理解吧
2、客户端上传的URL可能很大很大
这个就是导致上面告警的原因,我传了idea 2017版的下载链接,大约600MB吧,可怕~服务端就傻乎乎的在下载了……
3.总结
不要相信前端传来的任何数据!