安全：强制用户配置可访问域名的白名单或者黑名单，提高安全性 (#692)

* 安全：强制用户配置可访问域名的白名单或者黑名单，提高安全性 * 安全：强制用户配置可访问域名的白名单或者黑名单，提高安全性 * CI：修复 CI 问题 * CI：修复 CI 问题
2026-04-12 02:57:22 +00:00 · 2025-10-20 14:29:05 +08:00
parent b1af0c7d72
commit 9f3b45a4c7
5 changed files with 237 additions and 12 deletions
--- a/server/src/main/config/application.properties
+++ b/server/src/main/config/application.properties
@@ -86,11 +86,25 @@ cache.clean.cron = ${KK_CACHE_CLEAN_CRON:0 0 3 * * ?}
 #提供预览服务的地址，默认从请求url读，如果使用nginx等反向代理，需要手动设置
 #base.url = https://file.keking.cn
 base.url = ${KK_BASE_URL:default}
-#信任站点，多个用','隔开，设置了之后，会限制只能预览来自信任站点列表的文件，默认不限制
-#trust.host = kkview.cn
+
+# ========== 安全配置（重要）==========
+# 信任站点白名单配置，多个用','隔开
+# ⚠️ 安全提示：为防止SSRF攻击，强烈建议配置信任主机白名单
+# ⚠️ 如果不配置，系统将默认拒绝所有外部文件预览请求
+#
+# 配置示例：
+# trust.host = kkview.cn,yourdomain.com,cdn.example.com
+#
+# 如果需要允许所有域名（不推荐，仅用于测试环境），请设置为：
+# trust.host = *
+#
+# 当前配置：
 trust.host = ${KK_TRUST_HOST:default}
-#不信任站点，多个用','隔开，设置了之后，会限制来自不信任站点列表的文件，默认不限制
-#not.trust.host = kkview.cn
+
+# 不信任站点黑名单配置，多个用','隔开
+# 黑名单优先级高于白名单，设置后将禁止预览来自这些站点的文件
+# 建议配置：禁止访问内网地址和本地地址
+# not.trust.host = localhost,127.0.0.1,0.0.0.0,192.168.*,10.*,172.16.*
 not.trust.host= ${KK_NOT_TRUST_HOST:default}
 #文本类型，默认如下，可自定义添加
 simText = ${KK_SIMTEXT:txt,html,htm,asp,jsp,xml,json,properties,md,gitignore,log,java,py,c,cpp,sql,sh,bat,m,bas,prg,cmd}