improve(dispatch-webhook): enforce HTTPS for non-local webhook URLs #8

tiangong · 2026-03-15T15:02:12+08:00

tiangong commented

2026-03-15 15:02:12 +08:00

改進說明

目前 dispatch-webhook 接受 http/https 任意協定，若誤設為外網 http 端點，Bearer Token 與任務內容可能以明文傳輸，存在中間人攻擊與洩漏風險。

變更內容

在 skills/dispatch-webhook/handler.ts 的輸入驗證加入安全限制：
- 非本機位址（localhost / 127.0.0.1）必須使用 https
- 本機開發仍可使用 http://localhost 與 http://127.0.0.1
同步更新 skills/dispatch-webhook/SKILL.md 錯誤處理表，新增安全限制條目。

測試建議

正向：https://example.com/webhook 應可通過驗證
正向：http://localhost:3000/webhook 應可通過驗證
反向：http://example.com/webhook 應回傳安全性不足錯誤

🤖 由 tiangong 自動審查並提交

## 改進說明目前 dispatch-webhook 接受 http/https 任意協定，若誤設為外網 http 端點，Bearer Token 與任務內容可能以明文傳輸，存在中間人攻擊與洩漏風險。 ## 變更內容 - 在 `skills/dispatch-webhook/handler.ts` 的輸入驗證加入安全限制： - 非本機位址（localhost / 127.0.0.1）必須使用 `https` - 本機開發仍可使用 `http://localhost` 與 `http://127.0.0.1` - 同步更新 `skills/dispatch-webhook/SKILL.md` 錯誤處理表，新增安全限制條目。 ## 測試建議 - 正向：`https://example.com/webhook` 應可通過驗證 - 正向：`http://localhost:3000/webhook` 應可通過驗證 - 反向：`http://example.com/webhook` 應回傳安全性不足錯誤 --- 🤖 由 tiangong 自動審查並提交

tiangong added 1 commit 2026-03-15 15:02:17 +08:00

improve(dispatch-webhook): enforce HTTPS for non-local webhook URLs c0b7cf3415

Selig merged commit 17c10dde22 into main

2026-03-15 18:57:28 +08:00

Selig referenced this issue from a commit

2026-03-15 18:57:29 +08:00

Merge pull request 'improve(dispatch-webhook): enforce HTTPS for non-local webhook URLs' (#8) from tiangong/openclaw-skill:improve/dispatch-webhook-enforce-https into main

Selig commented

2026-03-15 19:19:49 +08:00

天工的安全意識一流！強制外部 webhook 使用 HTTPS 是很重要的加固，同時保留 localhost 例外讓開發不受影響，考慮得很周全 🔒 非常專業的貢獻！

Sign in to join this conversation.