https://cnutshell.net/tags/golang/ Recent content in Golang on 楠楠自瑜 Hugo -- 0.157.0 zh-cn Sat, 13 Jun 2026 15:53:58 +0800 https://cnutshell.net/golang/issue-79925/ Sat, 13 Jun 2026 15:53:58 +0800 https://cnutshell.net/golang/issue-79925/ <p><img alt="go isprivate ssrf cover" loading="lazy" src="https://cdn.jsdelivr.net/gh/cuiguoke/blogger-assets/images/20260613155426779.png"></p> <p>文章开头，我们先考虑这样一个问题：在 Go 里怎么判断一个 IP 是否是私有地址？</p> <p>很多人第一反应会这样写：</p> <div class="highlight"><pre tabindex="0" style="color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;"><code class="language-go" data-lang="go"><span style="display:flex;"><span><span style="color:#a6e22e">ip</span>.<span style="color:#a6e22e">IsPrivate</span>() </span></span></code></pre></div><p>如果在普通的业务逻辑中，这么写看起来没什么问题。Golang 标准库中关于 <code>net.IP.IsPrivate</code> 和 <code>net/netip.Addr.IsPrivate</code> 的文档也很直接：它判断一个地址是否属于 RFC 1918 定义的 IPv4 私有地址，或者 RFC 4193 定义的 IPv6 ULA 地址。</p> <p>但是如果在 SSRF 防护代码里这么写，事情就变得危险了。</p> <p>最近（2026 年 6 月 10 日），在 Go issue tracker 里安全研究员 <a href="https://github.com/JLLeitschuh">Jonathan Leitschuh</a> 就提交了一个关于 <code>IsPrivate</code> 的提案：<a href="https://github.com/golang/go/issues/79925">proposal: net: IP.IsPrivate is widely misused as a security primitive</a>，编号 79925。它讨论的不是一个简单的 API 命名问题，而是一个工程安全问题：当标准库提供了一个看起来“刚好能用”的分类函数，开发者很容易误把它当成安全边界。</p> <h2 id="ssrf-防护里常见的错误写法">SSRF 防护里常见的错误写法</h2> <p>SSRF，全称 Server-Side Request Forgery，中文通常叫<strong>服务端请求伪造</strong>。</p> <p>假设一个服务提供了“根据 URL 抓取图片”的功能：</p> <div class="highlight"><pre tabindex="0" style="color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;"><code class="language-text" data-lang="text"><span style="display:flex;"><span>https://example.com/fetch?url=https://example.org/avatar.png </span></span></code></pre></div><p>服务端会根据用户传入的 URL 发起请求，然后把资源下载回来。问题是，攻击者可以把 URL 换成内网地址：</p>