问题描述
当前的剪贴板监听逻辑过于粗暴,即只要看到URL就立即弹出窗口解析并请求下载。同时这可能存在安全问题,攻击者可能精心构造链接并触发解析,引发潜在的安全问题。
描述解决方案
-
自动检测 URL 时,先做以下安全检查再解析:
拒绝表征为内网/回环或任何纯 IP 地址的 URL 进行解析,拒绝超长 URL 防止构造攻击,检查 URL 解析后最终指向的 IP,阻止对内网/回环 IP 的访问,不要把 URL 直接拼接进日志中。
-
如果 URL 合法,再尝试决定是否要请求下载:
为了加快响应速度,我认为可以通过以下手段加快体验:
- 当在 URL 末尾检测到常见文件的后缀,则立即弹出通知,请求是否下载,然后再发送网络请求尝试解析文件信息,以加快响应速度;
- 如果没有,则尝试发送一个轻量的网络请求,探测目标资源的类型,如果看到 txt/html,则直接丢弃本次操作,否则弹出通知请求下载,进入解析与下载流程。
备选方案
No response
附加信息
问题描述
当前的剪贴板监听逻辑过于粗暴,即只要看到URL就立即弹出窗口解析并请求下载。同时这可能存在安全问题,攻击者可能精心构造链接并触发解析,引发潜在的安全问题。
描述解决方案
自动检测 URL 时,先做以下安全检查再解析:
拒绝表征为内网/回环或任何纯 IP 地址的 URL 进行解析,拒绝超长 URL 防止构造攻击,检查 URL 解析后最终指向的 IP,阻止对内网/回环 IP 的访问,不要把 URL 直接拼接进日志中。
如果 URL 合法,再尝试决定是否要请求下载:
为了加快响应速度,我认为可以通过以下手段加快体验:
备选方案
No response
附加信息