Безопасность в обработчиках
Если вы разрабатываете интеграции для Битрикс24 с помощью AI-инструментов (Codex, Claude Code, Cursor), подключите MCP-сервер, чтобы ассистент использовал официальную REST-документацию.
Разработчик приложения в обработчиках событий должен убедиться в том, что обработчик вызывается именно Битрикс24, а не злоумышленниками. Для этого Битрикс24 при вызове обработчиков передает дополнительный параметр application_token.
В первый раз параметр передаётся в обработчик события OnAppInstall вместе с данными авторизации пользователя, установившего приложение. При помощи этих данных авторизации обработчик события OnAppInstall может удостовериться в актуальности полученного access_token и затем запомнить application_token, чтобы в дальнейшем, в своих обработчиках других событий сверять получаемый application_token с сохраненным.
Особенно это актуально в обработчике события OnAppUninstall, поскольку в него не передаются данные авторизации (приложение уже удалено на Битрикс24). Поэтому в случае с OnAppUninstall сверка application_token с сохраненным значением становится единственным способом удостовериться, что обработчик события вызван именно Битрикс24.
Продолжите изучение
- Получить список доступных событий events
- Зарегистрировать новый обработчик события event.bind
- Получить список зарегистрированных обработчиков событий event.get
- Отменить зарегистрированный обработчик события event.unbind
- Особенности, преимущества и недостатки офлайн-событий
- Получить список офлайн-событий event.offline.list
- Получить список офлайн-событий с «очисткой» event.offline.get
- Очистить записи в очереди офлайн-событий event.offline.clear
- Зарегистрировать ошибки обработки очереди офлайн-событий event.offline.error
- Событие изменения очереди onOfflineEvent