ssrf

[QiAnXinCodeSafe]

您好， 我是360代码卫士团队的工作人员，在lemon项目中发现了服务器端请求伪造漏洞(ssrf)，详细信息如下 CdnController.java文件中接收了http请求中的url参数 并在后续代码中调用了CdnUtils.java中的copyUrlToFile() 函数中用url又创建了一个新的http连接，这样恶意攻击者可以通过控制url来造成ssrf攻击

[fangw1]

如何解决这种问题 ，我们现在veracode扫描也出现了这个问题