对于GitLab WebHook,如何确保请求来自GitLab?

时间:2016-03-09 13:11:30

标签: security gitlab webhooks

GitLabdocument在这里:https://gitlab.com/gitlab-org/gitlab-ce/blob/master/doc/web_hooks/web_hooks.md

我尝试了什么:

  1. request.hostname:主机名可以伪造吗?
  2. request.ip:但我不知道gitlab的ips,他们将来可能会改变
  3. 我在创建webhook时试图找到像github' Secret这样的东西,这个秘密可用于验证请求的主体,但没有任何内容
  4. https:有帮助吗?

    5. 那么如何确保请求来自GitLab?有好办法吗?

1 个答案:

答案 0 :(得分:2)

您可以包含一个秘密令牌,您只能在gitlab前端输入并且其他人都知道,然后在每个请求上检查该令牌。

当与https一起使用时,可以在网址链接的末尾添加cgi参数,例如?token=somesecretvalue

相关问题
最新问题