axios 1.15.0 发布，修复关键 SSRF 与 HTTP 请求走私漏洞

流行的 JavaScript HTTP 客户端库 axios 发布了 1.15.0 版本，此次更新包含两项关键的安全修复，直接针对可能被利用于发起服务器端请求伪造（SSRF）和 HTTP 请求走私攻击的漏洞。对于依赖 axios 处理网络请求的 Node.js 应用和服务而言，这些修复至关重要，尤其是那些处理用户输入或代理配置的应用。

此次版本升级从 1.7.9 跨越至 1.15.0，核心更新在于安全层面。第一个修复针对 `no_proxy` 主机名标准化绕过问题，该漏洞可能导致攻击者绕过代理限制，诱使服务器向内部或受保护网络发起非预期请求，即 SSRF 攻击。第二个修复则解决了 HTTP 请求走私的潜在风险，这类漏洞可能被用于毒化缓存或绕过安全控制。此外，更新还弃用了易引发 Node.js 警告的 `url.parse()` 方法，并增强了对 Deno 和 Bun 运行时的支持。

尽管是常规依赖更新，但其中包含的 SSRF 和请求走私修复具有显著的安全影响。SSRF 漏洞常被用于探测和攻击内网服务，而请求走私则可能破坏应用的安全边界。对于使用旧版本 axios（特别是 1.7.9 及更早版本）的开发团队和安全团队而言，此次升级应被视为高优先级任务。延迟应用此补丁可能会使相关服务暴露在可被远程利用的风险之下，尤其是在处理代理或复杂 HTTP 请求头的场景中。