接收Webhook的服务器存在被攻击的风险,The server that receives the Webhook is at risk of being attacked

[OPGithub]

No description provided.

[OPGithub]

webhook的通知，没有传token。接收方无法进行鉴权，所有请求都会被接收。无法进行判断是否来自于wukongim，从而被人攻击。

The server that receives the Webhook is at risk of being attacked. The Webhook interface does not pass a token. The recipient cannot authenticate and all requests will be accepted. It is impossible to determine whether the requests come from wukongim, thus it can be attacked.

[tangtaoit]

建议方案： 走内网，设置IP白名单

[OPGithub]

建议方案： 走内网，设置IP白名单

建议修改这个建议，Webhook传过来的参数当中带有配置好的token，这样可以减少隐患。

走内网对大多数应用来说是不切实际的，很多的服务的应用都是单体的应用，前端请求服务应用，那么服务的应用就势必要暴露在外网。

在涉及安全问题，关于设置ip白名单，建议在文档中建议，建议不要直接关闭安全建议。

我看配置文件本身有token的配置，既然调用悟空im需要传这个token，悟空im回调回来的时候，也可以传过来这个token，无论内外网都相对安全。