Todavía estoy en la etapa de planificación, por lo que es posible que esto no se haya completado completamente, pero estoy trabajando en un proyecto SaaS. Parte de lo cual permite a los usuarios (clientes de mi SaaS) configurar mi API para ver eventos y responder de manera preconfigurada. Una respuesta es que mi API (incorporada en PHP) inicie una solicitud POST HTTP a una URL proporcionada durante la configuración, con los parámetros dados. El objetivo es que el usuario dirija estas solicitudes a su propio servidor u otro sistema interno y luego pueda escucharlas e integrarla con sus propios sistemas internos de correo electrónico / seguimiento / pago.
Sin embargo, estoy un poco preocupado de que estos usuarios puedan reinar libremente sobre quiénes reciben a mi servidor para las solicitudes POST también. Suponiendo que desinfecto la entrada de la URL y cualquier parámetro, y reduzco la cantidad de solicitudes que puede enviar, ¿existen posibles casos de uso malintencionados derivados de un usuario que active POST desde mi API?