最近,我进入Jekyll来构建文档站点并将其托管在Github Pages上。我了解Github Pages对于允许的插件明智的列表非常有限。在进行一些漏洞测试时,我发现文件 Gemfile.lock 容易受到XML外部实体(XXE)注入的攻击。
在我的研究中,我读到:
阅读以下人的可接受答案
假设您没有编写rubygem,则Gemfile.lock应该位于您的存储库中。它用作所有必需的gem及其依赖项的快照。这样,捆绑程序不必在每次部署等时都重新计算所有的gem依赖关系。
但是我无法控制Jekyll网站。如果我了解此过程,请纠正我,但Github Pages可以构建该网站,并且 Gemfile.lock 是用于开发Gems的,并且我无法控制的话,可以删除该文件并添加到 .gitignore ?
答案 0 :(得分:0)
GitHub Pages不会寻找Gemfile.lock文件,也不会寻找Gemfile本身。
它只需要一个适当的配置文件即可加载gem /插件。