Sto creando un'API Ruby on Rails che pubblica i webhook che l'utente API può creare, ogni volta che una risorsa che gestisce viene creata, aggiornata o distrutta, utilizzando gemma HTTParty . Questo mi ha fatto pensare: sto convalidando che l'url webhook è davvero un url valido, ma questo è tutto.
Cosa succede se, ad esempio, i post dell'API su un webhook che reindirizza per sempre? O, forse ancora peggio, un webhook che a sua volta comunica nuovamente con l'API, attivando più webhook, così che alla fine l'API deve gestire una quantità infinita di webhook?
Questi sono solo due esempi, ma suppongo che potrebbe accadere molto di più.
L'unica cosa che mi è venuta in mente è di mettere tutti i post ai webhook nelle attività in background, in modo che almeno il carico di lavoro sia distribuito ai lavoratori, nel caso qualcuno provi un attacco DOS (ma poi di nuovo, non sono sicuro se che mi protegge adeguatamente dagli attacchi DOS).
Ci sono altre minacce / insidie comuni quando si usano i webhook? Cosa posso fare per difendermi dai webook dannosi e come posso rilevarli?