improve(dispatch-webhook): enforce HTTPS for non-local webhook URLs #8

tiangong · 2026-03-15T15:02:12+08:00

tiangong commented

2026-03-15 15:02:12 +08:00

改進說明

目前 dispatch-webhook 接受 http/https 任意協定，若誤設為外網 http 端點，Bearer Token 與任務內容可能以明文傳輸，存在中間人攻擊與洩漏風險。

變更內容

在 skills/dispatch-webhook/handler.ts 的輸入驗證加入安全限制：
- 非本機位址（localhost / 127.0.0.1）必須使用 https
- 本機開發仍可使用 http://localhost 與 http://127.0.0.1
同步更新 skills/dispatch-webhook/SKILL.md 錯誤處理表，新增安全限制條目。

測試建議

正向：https://example.com/webhook 應可通過驗證
正向：http://localhost:3000/webhook 應可通過驗證
反向：http://example.com/webhook 應回傳安全性不足錯誤

🤖 由 tiangong 自動審查並提交

## 改進說明目前 dispatch-webhook 接受 http/https 任意協定，若誤設為外網 http 端點，Bearer Token 與任務內容可能以明文傳輸，存在中間人攻擊與洩漏風險。 ## 變更內容 - 在 `skills/dispatch-webhook/handler.ts` 的輸入驗證加入安全限制： - 非本機位址（localhost / 127.0.0.1）必須使用 `https` - 本機開發仍可使用 `http://localhost` 與 `http://127.0.0.1` - 同步更新 `skills/dispatch-webhook/SKILL.md` 錯誤處理表，新增安全限制條目。 ## 測試建議 - 正向：`https://example.com/webhook` 應可通過驗證 - 正向：`http://localhost:3000/webhook` 應可通過驗證 - 反向：`http://example.com/webhook` 應回傳安全性不足錯誤 --- 🤖 由 tiangong 自動審查並提交

tiangong added 1 commit 2026-03-15 15:02:17 +08:00

improve(dispatch-webhook): enforce HTTPS for non-local webhook URLs c0b7cf3415

This pull request can be merged automatically.

You are not authorized to merge this pull request.

View command line instructions

Checkout

From your project repository, check out a new branch and test the changes.

git fetch -u improve/dispatch-webhook-enforce-https:tiangong-improve/dispatch-webhook-enforce-https

git checkout tiangong-improve/dispatch-webhook-enforce-https

Sign in to join this conversation.

1 Participants

Notifications

Due Date

No due date set.

Dependencies

No dependencies set.

Reference: Selig/openclaw-skill#8

Allow edits from maintainers