Segurança

Compute HMAC-SHA256 sobre o body bruto usando o secret e compare com X-DF-Webhook-Signature usando comparação timing-safe (constant time). NUNCA use comparação simples ===.

import crypto from "node:crypto";

function verifyWebhook(payload, signatureHeader, secret) {
  const expected = crypto
    .createHmac("sha256", secret)
    .update(payload)
    .digest("hex");
  return crypto.timingSafeEqual(
    Buffer.from(signatureHeader),
    Buffer.from(expected),
  );
}

Recomendamos restringir o endpoint receptor a IPs do DeFlow (consulte /developers para a lista atualizada).

URLs HTTP são rejeitadas. Use HTTPS com certificado válido.

Implemente rate limit no receptor para evitar amplificação em caso de retries cascateados.

Cada evento traz timestamp. Rejeite eventos com timestamp mais antigo que 5 minutos para mitigar replays.