Мы обновили систему webhook с HMAC-SHA256 подписями для повышенной безопасности.
Улучшения безопасности
- Криптографические подписи: Каждый webhook включает заголовок
X-Signature - Валидация временной метки: Защита от replay-атак с проверкой
X-Timestamp - Логика повторов: Автоматические повторы с экспоненциальной задержкой (1с, 5с, 15с)
Проверка подписи
HMAC-SHA256(apiSecret, timestamp.METHOD.path.body)
Подробнее в нашем руководстве по безопасности webhook.