我有一个Web服务,可为用户提供使用安全URL(例如https://)注册Webhook的功能。我正在考虑也支持非安全的URL进行注册(例如,自签名证书)。
如果我使用户能够注册非安全的URL,我的服务是否会遭受任何安全漏洞?我知道将公开不安全URL的用户,但是我的服务会以任何方式公开吗?
答案 0 :(得分:0)
简短答案:否
说明:您的服务正在呼叫不受您控制的第三方URL。因此,对于您而言,与该URL的通信是否已加密都没有关系。从您的角度来看,两种类型的URL都不应该被信任(即,您不应执行响应有效负载)。
编辑:提醒您仔细实施。特别是,仅对您调用的特定Web挂钩跳过SSL验证,而不对应用程序全局跳过。