Безопасность в обработчиках
Выберите инструмент для разработки с AI-агентом:
- используйте Битрикс24 Вайбкод, чтобы создать приложение для Битрикс24 по описанию задачи без знания языков программирования. Агент напишет код и разместит приложение на сервере без ручной настройки хостинга
- используйте MCP-сервер, чтобы разрабатывать интеграцию через REST API в своем проекте. Агент будет обращаться к официальной REST-документации
Разработчик приложения в обработчиках событий должен убедиться в том, что обработчик вызывается именно Битрикс24, а не злоумышленниками. Для этого Битрикс24 при вызове обработчиков передает дополнительный параметр application_token.
В первый раз параметр передаётся в обработчик события OnAppInstall вместе с данными авторизации пользователя, установившего приложение. При помощи этих данных авторизации обработчик события OnAppInstall может удостовериться в актуальности полученного access_token и затем запомнить application_token, чтобы в дальнейшем, в своих обработчиках других событий сверять получаемый application_token с сохраненным.
Особенно это актуально в обработчике события OnAppUninstall, поскольку в него не передаются данные авторизации (приложение уже удалено на Битрикс24). Поэтому в случае с OnAppUninstall сверка application_token с сохраненным значением становится единственным способом удостовериться, что обработчик события вызван именно Битрикс24.
Продолжите изучение
- Получить список доступных событий events
- Зарегистрировать новый обработчик события event.bind
- Получить список зарегистрированных обработчиков событий event.get
- Отменить зарегистрированный обработчик события event.unbind
- Офлайн-события
- Получить список офлайн-событий event.offline.list
- Получить список офлайн-событий с «очисткой» event.offline.get
- Очистить записи в очереди офлайн-событий event.offline.clear
- Зарегистрировать ошибки обработки очереди офлайн-событий event.offline.error
- Событие изменения очереди onOfflineEvent