V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Recommended Services
Amazon Web Services
LeanCloud
New Relic
ClearDB
win7pro
V2EX  ›  云计算

用腾讯云的云函数做 Webhook 有什么风险?

  •  
  •   win7pro · 22 天前 · 1526 次点击

    公司想给客户收到新邮件时候触发一个事件,允许客户配置个 Webhook ,把收到新邮件时符合关键词匹配规则的内容和标题之类发到客户自己设定的 URL 。

    因为发送到的 URL 是客户自己设定的,可以预计到会发到电报,LINE 之类的机器人,所以需要海外服务器,想到用海外地域的云函数,但同时想到恶意客户可能会设置个敏感内容的 URL (比如宣传 X 的站点的 URL )。

    公司的全部云服务都在腾讯云,之前也偶尔听说有 v 友因为内容涉敏感被封服务器的经历,因此我对 Webhook 这个需求有点怕怕。

    请教 v 友:

    假如云函数执行了一个 get/post 操作,访问了一个敏感的 URL 或者 query/body 带了敏感的内容,是否会导致云函数被封?甚至牵连到同账号的其他云服务被封?还有其他我没有想到的风险和注意事项求点醒。

    谢谢。

    13 条回复    2024-10-23 06:34:28 +08:00
    Moyyyyyyyyyyye
        1
    Moyyyyyyyyyyye  
       22 天前
    内容加密就好了吧
    win7pro
        2
    win7pro  
    OP
       22 天前
    @Moyyyyyyyyyyye 谢谢。
    哪个环节的加密?业务服务器请求到云函数的那一段可以加密,但云函数访问客户 URL 那段没法加密吧?
    lisongeee
        3
    lisongeee  
       22 天前
    你的意思是客户可以间接操作你的云函数访问任意 URL ?

    那这个是无解的,只能访问这个 URL 的时候走自己的代理
    win7pro
        4
    win7pro  
    OP
       22 天前
    @lisongeee 对,客户可以间接操作你的云函数单向访问任意 URL ,而我担心的就是腾讯云会不会因为云函数访问了敏感的 URL 导致云函数封禁或牵连同账户其他服务器。

    其实可以想到,申请一个外网云服务商(比如 amz )的云函数应该就可以规避,但考虑到公司业务都用腾讯云,结算用回腾讯云方便,而且用腾讯云的云函数还能走内网访问云函数,会比较方便。

    如果风险确实没法规避就可能用 amz 了。
    Moyyyyyyyyyyye
        5
    Moyyyyyyyyyyye  
       22 天前
    @win7pro #2 那你就危险了,直接访问一个诈骗网站,溯源到你的服务,就可以去喝茶了
    win7pro
        6
    win7pro  
    OP
       22 天前
    @Moyyyyyyyyyyye 不开玩笑,是真危险么? webhook 是单向请求,不获取返回内容,也会危险是么?>_<
    virusdefender
        7
    virusdefender  
       22 天前
    tencentcloud 之类的外区腾讯云重新注册一个账号和国内的账号隔离一下不知道可行不
    guanzhangzhang
        8
    guanzhangzhang  
       22 天前
    校验机制。。。
    类似公众号那样,访问指定 url 路由必须返回固定内容或者返回根据参数计算后的结果,表明这个 url 是约定的 webhook 机制,客户设置 X 站点的网站也没用了
    其他路由则是把数据发过去,不跟随 301 302 啥的,或者配置 301 302 白名单
    win7pro
        9
    win7pro  
    OP
       22 天前
    @guanzhangzhang 谢谢,然而这样就不是完全自定义了。
    win7pro
        10
    win7pro  
    OP
       22 天前
    @virusdefender 外区方案应该是可以的,只是公司想如果确认没风险尽量走回国内腾讯云,想内网访问+结算方便。
    Moyyyyyyyyyyye
        11
    Moyyyyyyyyyyye  
       22 天前
    @win7pro #6 如果内容是你发出去的,且内容是你定制的,不是客户定制的,其实就没有风险
    GPT6
        12
    GPT6  
       17 天前
    你用 cloudflare 建个 worker 不就没这些事了
    win7pro
        13
    win7pro  
    OP
       16 天前
    @GPT6 谢谢:)
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1806 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 20ms · UTC 16:40 · PVG 00:40 · LAX 08:40 · JFK 11:40
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.