Message-Pusher 项目移除 Webhook HTTPS 强制要求的实现方案

在开源项目 Message-Pusher 的最新开发中，项目团队针对用户反馈的内网使用场景需求，实现了对 Webhook HTTPS 强制要求的灵活配置方案。这一改进显著提升了项目在内网环境中的适用性。

背景与需求分析

Message-Pusher 作为一个消息推送服务，原本在设计时出于安全考虑，强制要求所有自定义消息渠道的 Webhook 必须使用 HTTPS 协议。这种设计在公网环境下确实能有效保障数据传输安全，但在某些特定内网场景中却带来了不便。

典型的内网使用场景包括：

1. 通过专用虚拟网络构建的封闭环境
2. 企业内网中未暴露到公网的服务
3. 开发测试环境中临时搭建的服务

这些场景下，服务通常无法或不方便申请 HTTPS 证书，但数据传输安全已通过其他方式得到保障。

技术实现方案

项目团队采纳了社区建议，通过引入环境变量配置的方式实现了灵活控制。具体技术实现要点如下：

1. 新增环境变量：CHANNEL_URL_ALLOW_NON_HTTPS
2. 默认行为：保持严格安全策略，默认仍要求 HTTPS
3. 特殊配置：当设置该环境变量为 true 时，系统将允许使用非 HTTPS 的 Webhook URL

配置指导

在实际部署中，管理员可以根据实际需求选择以下两种配置方式之一：

保持安全默认配置（推荐用于生产环境）

不进行特殊配置，系统将保持 HTTPS 强制要求，确保消息传输安全。

允许非 HTTPS 连接（适用于受控内网）

在部署时添加环境变量配置：

export CHANNEL_URL_ALLOW_NON_HTTPS=true

安全建议

虽然该功能提供了灵活性，但项目团队仍强烈建议：

1. 在公网环境中务必保持 HTTPS 强制要求
2. 在内网中使用时，确保网络环境本身的安全性
3. 定期审查非 HTTPS 连接的使用情况

这一改进体现了 Message-Pusher 项目在安全性和灵活性之间的平衡考量，既保持了默认的安全策略，又为特定场景提供了必要的配置选项。