安全：强制用户配置可访问域名的白名单或者黑名单，提高安全性 (#692)

* 安全：强制用户配置可访问域名的白名单或者黑名单，提高安全性 * 安全：强制用户配置可访问域名的白名单或者黑名单，提高安全性 * CI：修复 CI 问题 * CI：修复 CI 问题
2026-04-11 10:37:23 +00:00 · 2025-10-20 14:29:05 +08:00
parent b1af0c7d72
commit 9f3b45a4c7
5 changed files with 237 additions and 12 deletions
--- a/server/src/main/java/cn/keking/config/ConfigConstants.java
+++ b/server/src/main/java/cn/keking/config/ConfigConstants.java
@@ -308,7 +308,8 @@ public class ConfigConstants {
        if (DEFAULT_VALUE.equalsIgnoreCase(trustHost)) {
            return new CopyOnWriteArraySet<>();
        } else {
-            String[] trustHostArray = trustHost.toLowerCase().split(",");
+            // 去除空格并转小写
+            String[] trustHostArray = trustHost.toLowerCase().replaceAll("\\s+", "").split(",");
            return new CopyOnWriteArraySet<>(Arrays.asList(trustHostArray));
        }
    }
--- a/server/src/main/java/cn/keking/web/filter/TrustHostFilter.java
+++ b/server/src/main/java/cn/keking/web/filter/TrustHostFilter.java
@@ -54,13 +54,25 @@ public class TrustHostFilter implements Filter {
    }

    public boolean isNotTrustHost(String host) {
+        // 如果配置了黑名单，优先检查黑名单
        if (CollectionUtils.isNotEmpty(ConfigConstants.getNotTrustHostSet())) {
            return ConfigConstants.getNotTrustHostSet().contains(host);
        }
+
+        // 如果配置了白名单，检查是否在白名单中
        if (CollectionUtils.isNotEmpty(ConfigConstants.getTrustHostSet())) {
+            // 支持通配符 * 表示允许所有主机
+            if (ConfigConstants.getTrustHostSet().contains("*")) {
+                logger.debug("允许所有主机访问（通配符模式）: {}", host);
+                return false;
+            }
            return !ConfigConstants.getTrustHostSet().contains(host);
        }
-        return false;
+
+        // 安全加固：默认拒绝所有未配置的主机（防止SSRF攻击）
+        // 如果需要允许所有主机，请在配置文件中明确设置 trust.host = *
+        logger.warn("未配置信任主机列表，拒绝访问主机: {}，请在配置文件中设置 trust.host 或 KK_TRUST_HOST 环境变量", host);
+        return true;
    }

    @Override