Hraji si s vyvíjí Chatbot na facebooku messenger platformě. Prošel jsem dokument na Facebooku a nemohla najít, jak chránit svou webhookz náhodných hovorů.
Například, pokud uživatelé mohou koupit výrobky, se svými roboty, útočník, který zná něčí UserId může začít umístěním neautorizované objednávky volání mé webhook.
Mám několik nápadů, jak chránit to.
1) Whitelist můj API pouze volání z Facebooku.
2) Vytvořit něco podobného CSRF žetony s Postback hovory.
Nějaké nápady?
Facebook má samozřejmě již implementován mechanismus, kterým si můžete zkontrolovat, zda žádosti na vaši adresu URL zpětného volání jsou pravé (všechno ostatní bude jen nedbalosti z jejich strany) - viz https://developers.facebook.com/docs/graph-api / webhooks # receiveupdates :
Požadavek HTTP bude obsahovat
X-Hub-Signaturehlavičku, která obsahuje podpis SHA1 tohoto požadavku užitečného zatížení, pomocí aplikace tajemství jako klíč, a s předponousha1=. Vaše zpětné koncový bod lze ověřit podpis ověřit integritu a původ nákladuVezměte prosím na vědomí, že výpočet je proveden na uprchlého unicode verzi užitečného zatížení, s malými hex číslic. Pokud si jen spočítat proti dekódovaných bytů, budete skončit s jiným podpisem. Například řetězec
äöåje třeba, aby unikl\u00e4\u00f6\u00e5.
