SSRF 防护#
自 2.12.0 版本起可用
服务端请求伪造(SSRF)攻击利用工作流节点向内部网络资源、云元数据端点或不应公开访问的本地服务发起请求。
Warning
SSRF 防护是一种额外的应用层防御措施。您应始终在基础设施上配置网络层防护(防火墙、安全组、网络策略)作为主要防线。n8n 的 SSRF 防护在这些控制措施之上提供纵深防御。
启用 SSRF 防护#
1 | |
启用后,n8n 会根据配置的阻止和允许范围验证所有来自用户可控节点(如 HTTP Request 节点)的出站 HTTP 请求。这包括重定向目标和 DNS 解析,以防止 DNS 重绑定等绕过技术。
默认阻止范围#
启用 SSRF 防护后,以下 IP 范围默认被阻止:
| 范围 | 描述 |
|---|---|
10.0.0.0/8、172.16.0.0/12、192.168.0.0/16 |
RFC 1918 私有地址 |
127.0.0.0/8、::1/128 |
回环地址 |
169.254.0.0/16、fe80::/10 |
链路本地地址 |
fc00::/7、fd00::/8 |
IPv6 唯一本地地址 |
0.0.0.0/8、192.0.0.0/24、192.0.2.0/24、198.18.0.0/15、198.51.100.0/24、203.0.113.0/24 |
保留/特殊用途地址 |
您可以使用 N8N_SSRF_BLOCKED_IP_RANGES=default,100.0.0.0/8 扩展此列表。
允许访问内部服务#
如果您的工作流需要访问合法的内部服务,请使用允许列表。允许列表优先于阻止列表,遵循以下优先顺序:主机名允许列表 > IP 允许列表 > IP 阻止列表。
按主机名模式允许(支持通配符,如 *.n8n.internal):
1 | |
按 IP 范围允许:
1 | |
Warning
仅允许您可控的主机名(内部 DNS 区域)。主机名允许列表会绕过 IP 阻止列表检查。
相关资源#
有关完整的配置选项列表,请参阅 SSRF 防护环境变量。
有关设置环境变量的更多信息,请参阅配置方法。