Sono ancora in fase di pianificazione, quindi questo potrebbe non essere pienamente sviluppato, ma sto lavorando a un progetto SaaS. Parte della quale consente agli utenti (clienti del mio SaaS) di configurare la mia API per controllare gli eventi e rispondere in modo preconfigurato. Una risposta è per la mia API (integrata in PHP) per dare il via a una richiesta HTTP POST a un URL fornito durante l'installazione, con i parametri forniti. È inteso che l'utente indirizza queste richieste al proprio server o ad altri sistemi interni e quindi è in grado di ascoltare tali richieste e integrarle con i propri sistemi interni di posta elettronica / monitoraggio / pagamento.
Tuttavia, sono un po 'preoccupato di dare libero accesso a questi utenti su chi hanno il mio server anche sulle richieste dei POST. Supponendo che io sanizzi l'input dell'URL e tutti i parametri e limiti il numero di richieste che può inviare, ci sono potenziali casi di utilizzo dannoso derivanti da un utente che attiva i POST dalla mia API?