Security
原文:https://docs.gitlab.com/ee/development/fe_guide/security.html
Security
Resources
Mozilla 的 HTTP Observatory CLI和Qualys SSL Labs Server Test是发现潜在问题并确保遵守安全最佳实践的良好资源.
Including external resources
除 Google Analytics(分析)和 Piwik 外,切勿使用外部字体,CSS 和 JavaScript-仅在实例启用它时才可以使用. 资产应始终从 GitLab 实例本地托管和服务. 威盛嵌入式资源iframes
不应该只是在某些情况下,如与验证码,不能没有使用使用iframe
.
Avoiding inline scripts and styles
为了保护用户免受XSS 漏洞的侵害 ,将来我们将使用内容安全策略禁用内联脚本.
尽管内联脚本可能很有用,但它们也是安全问题. 如果无意中对用户提供的内容进行了未经消毒的处理,则恶意用户可以将脚本注入 Web 应用程序.
几乎在所有情况下都应避免使用内联样式,只有在找不到替代方法时才应使用内联样式. 这允许样式的可重用性以及可读性.