Андэграм
Андэграм
Читать в Telegram

Как проверить, что вебхуки приходят от Telegram

Андэграм

Помогаю авторам и бизнесу расти в Telegram без воды: понятные стратегии, пошаговые контент‑планы, разборы ошибок и рабочие инструменты. Пишу простым языком и даю конкретику, которую можно применить сегодня. Если хотите запустить канал, выбрать нишу и стабильно набирать подписчиков — вы в нужном месте.

Открыть в TelegramДругие публикации
telegramвебхукиsecret-token

Если бот принимает вебхуки, главный риск — поддельные POST-запросы на ваш endpoint. Злоумышленник может отправить фальшивое обновление, перегрузить сервер или попытаться обойти логику бота. Разберем, как защититься правильно.

Используйте secret token

Telegram позволяет задать секретный токен при установке вебхука через setWebhook. После этого в каждом запросе Telegram будет отправлять заголовок:

X-Telegram-Bot-Api-Secret-Token

На сервере нужно просто сравнить его значение с вашим токеном. Если не совпадает — отклоняйте запрос с 403 Forbidden.

Почему это важно: это самый простой и надежный способ отличить Telegram от случайного клиента.

Не полагайтесь только на IP

У Telegram есть список IP-адресов, с которых могут приходить запросы, и некоторые разработчики фильтруют их на уровне firewall или reverse proxy. Это полезная дополнительная мера, но не основная:

  • IP могут меняться
  • можно ошибиться в настройке
  • один только IP не заменяет проверку токена

Лучший подход: secret token + ограничение по IP, если инфраструктура это позволяет.

Принимайте только HTTPS

Webhook должен работать только через HTTPS. Это защищает данные в пути и снижает риск перехвата запроса. Если используете свой сертификат, проверьте корректность TLS-настроек и автоматическое продление.

Проверяйте метод и формат запроса

Базовая гигиена безопасности:

  • принимать только POST
  • ожидать Content-Type: application/json
  • ограничить размер тела запроса
  • валидировать JSON перед обработкой

Это защищает от мусорных и аномальных запросов.

Скрывайте endpoint, но не рассчитывайте только на это

Некоторые делают URL вебхука длинным и непредсказуемым, например с UUID или токеном в пути. Это нормально как дополнительный слой защиты, но не как единственный. “Секретный URL” легко утечет в логах, конфиге или при ошибке.

Логируйте отказы

Если запрос не прошел проверку токена, метода или структуры — сохраняйте событие в лог. Это поможет заметить атаки, неверные настройки и попытки сканирования endpoint.

Не обрабатывайте запрос до верификации

Сначала:

  • проверка secret token
  • проверка метода
  • базовая валидация JSON

И только потом — бизнес-логика бота. Это снижает нагрузку и закрывает лишние векторы атак.

Итог ✅

Если хотите убедиться, что запросы к боту приходят именно от Telegram, используйте X-Telegram-Bot-Api-Secret-Token как главный механизм проверки. Все остальное — HTTPS, IP-фильтрация, скрытый URL и логи — это усиление защиты, а не замена.

📌 В конце загляните в подборку Телеграм-каналов — там собраны полезные ресурсы для разработчиков, авторов и тех, кто строит проекты в Telegram.

👁 Подборки каналов
🤖 Каталог ботов и приложений
✈️ Навигация

Читайте так же