服务器能否信任来自网络推送订阅的任何端点 url?

Can a server trust any endpoint url from a web-push subscription?

即使用户通过了身份验证,也无法保证他们不是恶意黑客。如何从网络推送订阅端点验证推送服务器?是否有推送服务器白名单?还有其他验证方法吗?我如何在 Java 中执行此操作?

我们在生产中维护和使用这个白名单,它仍然有效:

https://github.com/pushpad/known-push-services

您应该只连接到列入白名单的主机以避免意外行为 - 否则来自恶意服务器的无响应、响应缓慢等可能会降低您的服务。

然后当您连接到已知/受信任的主机时,您可以简单地验证 HTTP 状态代码。