[高] Webhook接口捕获所有HTTP Headers含敏感信息 #85

New Issue

Closed

opened 2026-05-10 18:39:14 +08:00 by admin · 0 comments

admin commented 2026-05-10 18:39:14 +08:00

Owner

Copy Link

问题描述

backend/app/api/webhooks.py 第73-77行，webhook 处理函数将请求的所有 HTTP headers 全部捕获并存储，包括 Authorization、Cookie 等敏感头信息。这些信息被记录到数据库和执行日志中。

涉及文件

• backend/app/api/webhooks.py:73-77

修复建议

只捕获业务相关的 webhook 头（如 X-* 自定义头），过滤掉 Authorization、Cookie、Host 等敏感/无关头。

严重程度

高 - 敏感信息泄漏

## 问题描述 backend/app/api/webhooks.py 第73-77行，webhook 处理函数将请求的所有 HTTP headers 全部捕获并存储，包括 Authorization、Cookie 等敏感头信息。这些信息被记录到数据库和执行日志中。 ## 涉及文件 - backend/app/api/webhooks.py:73-77 ## 修复建议 只捕获业务相关的 webhook 头（如 X-* 自定义头），过滤掉 Authorization、Cookie、Host 等敏感/无关头。 ## 严重程度 高 - 敏感信息泄漏

admin closed this issue 2026-05-10 18:46:34 +08:00

Sign in to join this conversation.

No Branch/Tag Specified

Branches Tags

main

rjb_win_dev

rjb_dev

No results found.

Labels

No items

No Label

Milestone

No items

No Milestone

Projects

Clear projects

No project

Assignees

Clear assignees

admin

No Assignees

1 Participants

Notifications

Subscribe

Due Date

No due date set.

Dependencies

No dependencies set.

Reference: admin/aiagent#85