Dᴀʀ*_*ᴅᴇʀ 7 jekyll github-pages gemfile.lock xxe
最近,我开始使用 Jekyll 来构建文档站点并将其托管在 Github Pages 上。据我所知,Github Pages 的插件列表非常有限。在进行一些漏洞测试时,我发现文件Gemfile.lock容易受到 XML 外部实体 (XXE) 注入的攻击。
在我的研究中,我读到:
阅读已接受的答案后:
假设您没有编写 rubygem,Gemfile.lock 应该位于您的存储库中。它用作所有所需 gem 及其依赖项的快照。这样,bundler 就不必在每次部署等时重新计算所有 gem 依赖项。
但我无法控制 Jekyll 网站。如果我理解这个过程,但 Github Pages 构建了该网站,并且如果Gemfile.lock用于 Gems 的开发,并且这不是我可以控制的,那么可以删除该文件并添加到 .gitignore 吗?请纠正我?
| 归档时间: |
|
| 查看次数: |
2335 次 |
| 最近记录: |