Axios NO_PROXY 主机名规范化绕过导致 SSRF

### 漏洞概述 Axios 在处理 `NO_PROXY` 规则时，由于未对主机名进行规范化（Normalization）处理，导致无法正确识别某些回环地址。根据 RFC 1034 和 RFC 3986，主机名可以带有尾随点（表示 FQDN），但在 Axios 中，由于使用的是字面量字符串比较而非规范化后的比较，导致如 `localhost.` 或 `[::1]` 等地址无法被 `NO_PROXY` 规则识别，从而被迫通过代理发送。 ### 影响范围 Axios 版本 < 1.15.0。 ### 利用条件 攻击者可以通过构造特殊的 URL（例如在主机名末尾添加点或使用特定的 IPv6 格式），强制 Axios 绕过 `NO_PROXY` 配置，将原本应直接访问的本地或内部流量转发至配置的代理服务器，从而实现 SSRF 或代理绕过。 ### 修复建议 建议升级至 Axios 1.15.0 或更高版本。开发者应确保在评估 `NO_PROXY` 之前对主机名进行规范化，包括移除主机名末尾的点并规范化 IPv6 字面量。 ### 参考链接 - https://github.com/advisories/GHSA-3p68-rc4w-qgx5 - https://nvd.nist.gov/vuln/detail/CVE-2025-62718