为什么 Discord 允许您通过简单的删除请求(例如 Python 中的
requests.delete
)删除 Webhook?这不是一个安全问题吗,因为任何人只要有链接就可以删除它?
裸露的“删除 Webhook” 端点需要身份验证和适当的权限。 “使用令牌删除 Webhook” 端点不需要身份验证,但这是因为 URL 本身包含 Webhook 的安全令牌。您不应该与任何人共享该信息,就像您不应该共享您的机器人令牌或登录密码一样。
所以,是的,从技术上讲,有一个 URL,任何人(如果知道)都可以向其发送删除请求。但该 URL 并未在任何地方公开列出,只有那些有权删除 Webhook 的人才能首先访问它。